關於通行密鑰的安全性

通行密鑰能取代密碼。使用通行密鑰的登入速度更快、更易於使用，也更加安全。

通行密鑰能取代密碼，為網站和 App 提供更便利且更安全的無密碼登入體驗。通行密鑰是一種基於標準的技術。有別於密碼，通行密鑰可以防範網路釣魚，隨時保持高強度，並且經過專門設計，因此不會有共享的機密。通行密鑰可簡化 App 和網站的帳號註冊程序、易於使用，還能在您的所有 Apple 裝置（甚至是附近的非 Apple 實體裝置）上運作。

憑證安全性

通行密鑰是以 WebAuthentication（簡稱「WebAuthn」）標準為基礎建構而成，此標準採用公用密鑰加密技術。註冊帳號時，作業系統會建立獨有的加密密鑰配對，用來與 App 或網站的帳號產生關聯。裝置會以安全且獨有的方式為每個帳號產生這些密鑰。

其中一個密鑰為公用密鑰，儲存在伺服器上。此公用密鑰不具機密性。另一個密鑰為專用密鑰，是實際登入所需要的密鑰。伺服器絕對不會取得專用密鑰的內容。在配備 Touch ID 或 Face ID 的 Apple 裝置上，使用者可透過 Touch ID 或 Face ID 來授權使用通行密鑰，進而認證身分以使用 App 或網站。系統不會傳輸共享的機密，而且伺服器也不需要保護公用密鑰。這使通行密鑰成為強度極高且易於使用的憑證，並能高度防範網路釣魚。此外，各平台供應商也在 FIDO 聯盟內合作，確保通行密鑰機制相容於其他平台，並能在更多裝置上運作。

同步安全性

通行密鑰經過專門設計，可從所有經常使用的裝置上便利且無障礙地取用。通行密鑰可透過「iCloud 鑰匙圈」在使用者的所有裝置上同步。

「iCloud 鑰匙圈」使用 Apple 無法得知的高強度加密密鑰進行端對端加密，並限制速率以防範暴力破解攻擊，即使這些攻擊來自於雲端後端中具有特殊權限的位置，而且即便使用者遺失所有裝置也可復原密鑰。

Apple 設計了「iCloud 鑰匙圈」和鑰匙圈復原功能，讓使用者的通行密鑰和密碼在下述情況下仍可受到保護：

使用者用於 iCloud 的 Apple ID 帳號遭洩漏
iCloud 遭外部攻擊者或員工入侵
第三方存取使用者帳號

存取 Apple ID 帳號的防護措施

為了防範未經授權的存取，任何使用「iCloud 鑰匙圈」的 Apple ID 都必須經過雙重認證。如果使用者嘗試註冊新的通行密鑰，但是未設定雙重認證，系統將會自動提示使用者設定雙重認證。

凡是在新裝置上首次登入，系統一定會要求提供兩項資訊：Apple ID 密碼和六位數驗證碼。驗證碼會顯示在使用者的受信任裝置上，或傳送至受信任的電話號碼。

進一步瞭解雙重認證

存取「iCloud 鑰匙圈」的防護措施

「iCloud 鑰匙圈」具備另一層防護，以防止惡意裝置存取使用者的「iCloud 鑰匙圈」。當使用者首次啟用「iCloud 鑰匙圈」時，裝置會建立信任圈，並為裝置本身建立同步身分，此身分由儲存在裝置鑰匙圈中的獨有密鑰配對組成。

新裝置登入 iCloud 時，會透過以下兩種方式之一加入「iCloud 鑰匙圈」同步圈：

與現有的「iCloud 鑰匙圈」裝置配對，並由該裝置提供輔助；或者
使用「iCloud 鑰匙圈」復原功能。

復原安全性

在遺失單一裝置的情況下，通行密鑰同步功能可方便您從其他裝置上取回密鑰。不過，通行密鑰的復原功能也很重要，即使遺失所有相關聯的裝置也能有所幫助。通行密鑰可透過「iCloud 鑰匙圈」的託管功能復原，此方式還能防範暴力破解攻擊，即使此攻擊來自 Apple。

「iCloud 鑰匙圈」會透過 Apple 託管使用者的鑰匙圈資料，但不會讓 Apple 讀取其中包含的密碼和其他資料。使用者的鑰匙圈使用高強度密碼加密，唯有在符合一套嚴格的條件時，託管服務才會提供鑰匙圈的拷貝。

若要復原鑰匙圈，使用者必須以 iCloud 帳號和密碼進行認證，並回覆傳送至已註冊電話號碼的 SMS。在完成認證和回覆後，使用者還必須輸入裝置密碼。iOS、iPadOS 和 macOS 僅允許嘗試認證 10 次。在多次嘗試失敗後，將會鎖定記錄，使用者必須致電 Apple 支援以授權更多嘗試次數。在第十次嘗試失敗後，將會銷毀託管記錄。

或者，使用者也可以設定帳號復原聯絡人，以確保隨時都能存取帳號，即使忘記 Apple ID 密碼或裝置密碼也不必擔心。

瞭解如何設定帳號復原聯絡人