即使你開始使用通行碼（Passkey），這並不代表你的密碼就徹底消失了。

微軟近期大力推動無密碼登入作為新策略的一部分，他們強力推廣 FIDO 通行碼。

我非常喜歡 FIDO 通行碼及其相關的驗證技術。FIDO 驗證解決方案（包括通行碼）具備抗釣魚攻擊的特性，這使得它們比傳統密碼和大部分多因素身份驗證（MFA）產品安全得多。

通行碼面臨的主要問題是，目前大部分網站（99%）尚未支援它們。這是一個雞生蛋、蛋生雞的問題。不過，越來越多的大型網站和服務已經開始支援通行碼，而微軟的新推動舉措預計將顯著增加這一數量。這是一個好的趨勢。任何能夠取代密碼的技術，對於保護重要數據和資訊的網站和服務來說，都是值得推動的。

雖然我非常喜歡 FIDO 通行碼，但我也是個現實主義者。它們並非適用於所有情境。我之前撰寫過幾篇相關文章，深入探討了這些限制：

1. 我喜歡通行碼，但它們並不完美
2. 使用通行碼其實很簡單，前提是…
3. 我對通行碼安全性的排名

如果你能選擇通行碼而非密碼，我強烈建議你選擇通行碼。不過，我會更加建議你將通行碼與像 1Password 這樣的密碼管理工具結合使用。這樣你就能輕鬆地在不同設備和平台上使用相同的通行碼。而目前僅靠 FIDO 通行碼，尚未能輕鬆實現這一點。

重要提醒

當你為現有帳戶設置通行碼時，通常情況下，你的密碼仍然可以用於登入。通行碼僅僅是新增的一種登入方式，並不會自動禁用原有的密碼功能。

我測試了十幾個網站，發現情況確實如此。這意味著，即使你設置了通行碼，攻擊者仍然可以通過以下方式攻擊你的帳戶：

1. 竊取你的密碼
2. 利用社交工程手段套取你的密碼
3. 猜測你的密碼
4. 嘗試破解你的密碼雜湊值

從某種意義上說，你的通行碼是安全的，但攻擊者仍然可以利用相對較弱的密碼來攻擊你的帳戶，這一點非常諷刺。

防禦措施

1. 確保你的密碼足夠強大：
   • 至少 12 位完全隨機生成的字符組成。
   • 使用密碼管理工具來生成並保存強密碼。
   • 如果必須手動創建密碼，那至少要 20 位以上，並確保隨機性。
2. 注意通行碼啟用後，密碼仍有效：
   • 當你在網站或服務上啟用通行碼後，請檢查是否可以停用密碼功能。如果可以，請立即停用。
   • 微軟允許用戶在使用 Microsoft Authenticator 時禁用密碼功能。不過，Microsoft Authenticator 本身並非抗釣魚攻擊技術，因此我並不推薦。
3. 了解後台可能仍存有密碼：
   • 即使你禁用了密碼功能，一些網站和服務可能仍會在某些登入場景中保存或使用密碼雜湊。例如，微軟的一些身份驗證場景（如智能卡登入）即使不使用密碼，背後仍可能存有密碼雜湊。

總之，啟用通行碼確實是一種更安全的登入方式，但不要忽視密碼仍然存在的風險。在啟用通行碼後，務必將密碼更新為足夠強大的隨機密碼，以防範潛在攻擊。

事實證明，“通行碼”並不等於“無密碼”。