關於通行密匙的保安

通行密匙能取代密碼。使用通行密匙的登入速度更快、更易使用，亦更加安全。

通行密匙能取代密碼，為網站和 app 提供更便利且更安全的無密碼登入體驗。與密碼不同，通行密匙是一種基於標準的技術。它可以防範網絡釣魚，隨時保持保安強度，並且從設計上杜絕了共享密匙的疑慮。通行密匙可簡化 app 和網站的帳戶註冊程序、易於使用，還能在你的所有 Apple 裝置 (甚至是實際在附近的非 Apple 實體裝置) 運作。

憑證保安

通行密匙是以 WebAuthentication (簡稱「WebAuthn」) 標準為基礎建構而成，此標準採用公用密匙加密技術。註冊帳戶時，作業系統會建立獨有的加密密匙配對，用來與 app 或網站的帳戶產生關聯。裝置會以安全且獨有的方式為每個帳戶產生這些密匙。

其中一個密匙為公用密匙，儲存在伺服器。此公用密匙不具機密性。另一個密匙為專用密匙，是實際登入所需要的密匙。伺服器絕對不會取得專用密匙的內容。在配備 Touch ID 或 Face ID 的 Apple 裝置，使用者可透過 Touch ID 或 Face ID 來授權使用通行密匙，進而認證身分以使用 app 或網站。系統不會傳輸共享密匙，而且伺服器亦不需要保護公用密匙。這使通行密匙成為強度極高且易於使用的憑證，並能高度防範網絡釣魚。此外，各平台供應商也在 FIDO 聯盟內合作，確保通行密匙機制相容於其他平台，並能在更多裝置運作。

同步保安

通行密匙經過專門設計，可從所有經常使用的裝置便利且無障礙地取用。通行密匙可透過「iCloud 鑰匙圈」在使用者的所有裝置同步。

「iCloud 鑰匙圈」使用 Apple 無法得知的高強度加密密匙進行點對點加密，並限制速率以防範暴力破解攻擊，即使這些攻擊來自於雲端後端中具有特殊權限的位置，而且即使使用者遺失所有裝置亦可還原。

Apple 設計了「iCloud 鑰匙圈」和鑰匙圈還原功能，讓使用者的通行密匙和密碼在下述情況下仍可受到保護：

使用者用於 iCloud 的 Apple ID 帳戶遭洩漏
iCloud 遭外部攻擊者或員工入侵
第三方存取使用者帳戶

存取 Apple ID 帳戶的防護措施

為了防範未經授權的存取，任何使用「iCloud 鑰匙圈」的 Apple ID 都必須經過雙重認證。如果使用者嘗試註冊新的通行密匙，但是未設定雙重認證，系統將會自動提示使用者設定雙重認證。

凡是在新裝置首次登入，系統一定會要求提供兩項資訊：Apple ID 密碼和六位數驗證碼。驗證碼會顯示在使用者的受信任裝置，或傳送至受信任的電話號碼。

進一步了解雙重認證

存取「iCloud 鑰匙圈」的防護措施

「iCloud 鑰匙圈」具備另一層防護，以防止惡意裝置存取使用者的「iCloud 鑰匙圈」。當使用者首次啟用「iCloud 鑰匙圈」時，裝置會建立信任圈，並為裝置本身建立同步身分，此身分由儲存在裝置鑰匙圈的獨有密匙配對組成。

新裝置登入 iCloud 時，會透過以下兩種方式之一加入「iCloud 鑰匙圈」同步圈：

與現有的「iCloud 鑰匙圈」裝置配對，並由該裝置提供輔助；或者
使用「iCloud 鑰匙圈」還原功能。

還原保安

在遺失單一裝置的情況下，通行密匙同步功能可提供便利性並避免重複的程序。不過，通行密匙的還原功能亦很重要，即使遺失所有相關聯的裝置亦能有所幫助。通行密匙可透過「iCloud 鑰匙圈」的託管功能還原，此方式還能防範暴力破解攻擊 (即使此攻擊來自 Apple)。

「iCloud 鑰匙圈」會透過 Apple 託管使用者的鑰匙圈資料，但不會讓 Apple 讀取其中包含的密碼和其他資料。使用者的鑰匙圈使用高強度密碼加密，只有在符合一套嚴格條件時，託管服務才會提供鑰匙圈的副本。

若要還原鑰匙圈，使用者必須以 iCloud 帳戶和密碼進行認證，並回覆傳送至已註冊電話號碼的 SMS。完成認證和回覆後，使用者還必須輸入裝置密碼。iOS、iPadOS 和 macOS 僅允許嘗試認證 10 次。多次嘗試失敗後，將會鎖定記錄，使用者必須致電 Apple 支援以授權更多嘗試次數。第十次嘗試失敗後，將會銷毀託管記錄。

或者，使用者亦可以設定帳戶還原聯絡人，確保隨時都能存取帳戶，即使忘記 Apple ID 密碼或裝置密碼亦無需擔心。

了解如何設定帳戶還原聯絡人