研究人員指Google Authenticator Passkey運作架構存在安全漏洞
Passkey運作架構與安全機制
Google Authenticator的Passkey(通行密鑰)採用雲端與硬體裝置的混合架構,透過TPM(可信平臺模組)金鑰與雲端服務建立信任,實現裝置與使用者之間的安全驗證。
潛在安全風險與漏洞分析
雖然Passkey設計旨在取代傳統密碼,但研究人員指出其運作架構中存在潛在風險,可能讓攻擊者冒充裝置、接管Google帳號並取得Passkey。
此風險主要來自於裝置與雲端之間的同步機制,若攻擊者能取得裝置的驗證資料,便可能透過模仿裝置行為來進行身份冒充。
相關技術與對比
- OTP驗證碼:Google Authenticator與其他OTP工具相比,雖比簡訊或電子郵件驗證更安全,但仍可能遭釣魚攻擊,駭客可偽裝成官方網站要求輸入驗證碼。
- 硬體金鑰與生物特徵:Passkey可結合指紋或臉部辨識等生物特徵,並透過PIN碼或解鎖圖案進行驗證,提升整體安全性。
產業趨勢與應用
根據FIDO Alliance調查,87%企業已或正在部署Passkey,目標為改善用戶體驗、加強安全並符合相關規範要求。
隨著無密碼認證的普及,Passkey正成為企業與個人保護帳戶的重要工具。