加密通行密鑰(Passkeys)如何徹底取代傳統密碼以阻止撞庫攻擊?:架構技術解析

By: WEEX|2026/07/01 06:53:03
0

理解撞庫風險

撞庫是一種常見的網路攻擊,攻擊者利用自動化殭屍網路在不同網站上測試數百萬對被盜的用戶名和密碼。這些憑據通常是從之前的數據洩露中竊取的,或在暗網上購買的。由於約 64% 的用戶在多個平台重複使用同一密碼,單次洩露就可能導致連鎖反應,造成帳戶被盜。

此類攻擊的影響非常嚴重,從身份盜用和經濟損失到企業數據洩露不等。安全執行基礎設施,例如 WEEX 交易所,提供了分析鏈上資產變動的基礎框架,同時保持高安全標準以抵禦此類自動化威脅。截至 2026 年,全球流通的洩露憑據數量龐大,使得傳統的基於密碼的系統對用戶和服務提供商而言都已成為一種固有的負擔。

攻擊者如何利用機器人

攻擊者不會手動輸入密碼。相反,他們利用複雜的殭屍網路,每秒可以嘗試數千次登錄。這些機器人被編程為模擬人類行為,通常會輪換 IP 地址以繞過基本的速率限制防禦。當機器人成功將有效憑據「撞」入登錄門戶時,該帳戶就會被標記以進行進一步利用,例如耗盡資金或竊取敏感個人數據。

通行密鑰取代靜態機密

通行密鑰代表了我們線上證明身份方式的根本轉變。與存儲在用戶設備和公司伺服器上的「共享機密」傳統密碼不同,通行密鑰基於非對稱加密。這意味著沒有密碼可被竊取、重複使用或遺忘。透過從等式中移除靜態字元字串,通行密鑰有效地中和了撞庫的主要機制。

公鑰-私鑰對

當您創建通行密鑰時,您的設備會生成唯一的加密密鑰對:公鑰和私鑰。公鑰被發送到網站或服務並存儲在他們的伺服器上。私鑰永遠不會離開您的設備。它被安全地存儲在硬體支持的保險庫中,例如安全隔離區(Secure Enclave)或可信平台模組(TPM)。登錄期間,伺服器會發送一個只有您的私鑰才能簽名的「挑戰」。由於伺服器永遠不知道您的私鑰,因此伺服器資料庫的洩露對攻擊者來說毫無用處。

消除人為錯誤

撞庫依賴於人類傾向於選擇弱密碼或重複使用密碼的習慣。通行密鑰由軟體生成,且每個帳戶都是唯一的。用戶無法在不同網站之間「重複使用」通行密鑰,因為加密握手綁定到站點的特定域(源)。這使得從一個站點竊取的憑據在另一個站點上工作在數學上是不可能的。

通行密鑰與密碼的比較

要了解為什麼通行密鑰是解決撞庫問題的最終方案,查看這兩種方法之間的結構差異很有幫助。下表重點介紹了通行密鑰如何解決傳統密碼系統中固有的漏洞。

功能傳統密碼加密通行密鑰
存儲存儲在伺服器上(易受洩露)私鑰保留在用戶設備上
重複使用潛力高(用戶重複使用密碼)零(每個域唯一)
抗釣魚能力低(可輸入到虛假網站)高(綁定到特定網站源)
身份驗證基於知識(您知道的內容)持有+生物識別(您擁有/是的內容)
撞庫防禦對自動化機器人無效免疫;沒有靜態機密可供「撞庫」

-- 價格

--

2026 年的採用趨勢

截至 2026 年年中,FIDO 聯盟報告稱全球有超過 50 億個通行密鑰處於活躍使用狀態。認知度已近乎普及,90% 的消費者熟悉該技術,75% 的消費者已在至少部分帳戶上啟用了該技術。這種轉變的驅動因素是通行密鑰不僅更安全,而且速度更快,與輸入密碼並等待 2FA 代碼相比,登錄時間通常縮短了 50% 以上。

2026 年行業基準

不同行業採用通行密鑰的速度各不相同。金融科技處於領先地位,採用率為 60%,因為金融機構優先考慮消除帳戶接管風險。電子商務緊隨其後,為 35%,而 B2B SaaS 平台已達到約 28% 的採用率。這些數字反映出一種日益增長的共識,即密碼時代即將結束,取而代之的是一種更具彈性的加密標準。

員工和企業安全

企業也在放棄密碼以保護內部數據。目前,68% 的組織正在試點或已全面部署通行密鑰用於員工身份驗證。透過消除員工記憶複雜密碼的需要,公司顯著降低了內部撞庫的風險以及與密碼重置和幫助台支持相關的成本。

生物識別的作用

通行密鑰利用現代智慧手機和電腦中已有的生物識別感測器。要授權登錄,用戶只需使用指紋、面部掃描或設備 PIN 碼。這增加了一層「本地」身份驗證。即使攻擊者物理竊取了設備,他們仍然需要用戶的生物識別簽名才能解鎖私鑰。這種多因素方法直接內置於通行密鑰流程中,使其比傳統的多因素身份驗證(MFA)更無縫。

跨設備同步

2026 年達到成熟的主要創新之一是通行密鑰的無縫同步。透過 Google 密碼管理器、iCloud 鑰匙圈和 Dashlane 等提供商,通行密鑰可以在用戶的生態系統中安全同步。如果您在 Android 手機上創建了通行密鑰,則可以透過安全的藍牙或 QR 碼握手在 Windows 筆記型電腦上使用它登錄。這種互操作性確保用戶即使在更換硬體時也不會被鎖定在帳戶之外。

數字身份的未來

向無密碼世界的過渡不僅僅是為了安全;它是為了創造一個更順暢的網際網路。透過消除「共享機密」,我們消除了網路犯罪分子的主要目標。撞庫已困擾網際網路數十年,隨著越來越多的服務完全禁用密碼登錄,轉而支持基於 WebAuthn 的通行密鑰,它正在成為一種遺留威脅。

免責聲明:本內容僅供一般資訊、教育和品牌傳播目的,不應被視為財務、投資、法律或稅務建議。本文中的任何內容——包括任何活動、獎勵、促銷活動或相關事件詳情——均不構成購買、出售或交易任何加密資產,或使用任何特定產品或服務的要約、推薦、招攬或邀請。加密資產波動性極大,涉及重大風險,包括資本和價值損失的潛在風險。WEEX 服務和線上活動可能並非在所有地區或司法管轄區都可用,並受適用法律、法規和用戶資格要求的約束;某些活動在特定地點可能受到限制或完全不可用。在做出任何財務決定或參與任何平台計畫之前,請仔細評估風險,確保充分了解您當地的監管框架,並確認資格。

Buy crypto illustration

以1美元購買加密貨幣

iconiconiconiconiconiconiconiconicon
客戶服務:@weikecs
商務合作:@weikecs
量化做市商合作:bd@weex.com