Passwordless Accounts: One-Time Passwords (OTPs) and Passkeys無密碼賬戶：一次性密碼（OTP）和通行金鑰

一次性密碼（OTP）和通行金鑰（Passkey）是兩項讓使用者登入和註冊更便捷的最新技術。這些創新特別適用於移動裝置，但也可以改善桌面端的登入體驗。

密碼的痛點（補充資料）

根據我們的一項使用者調查顯示：

• 76%的受訪者會將密碼儲存在手機中；

• 17%使用第三方密碼管理器；

• 10%同時使用手機和第三方密碼管理器。

即便使用密碼管理器，使用者體驗仍會受密碼的影響。例如：

• 密碼欄位有時無法被識別，導緻密碼管理器無法自動填寫。

• 密碼管理器生成的密碼可能不符合某些網站的特殊要求。

OTPs on Desktops 一次性密碼在臺式電腦上的優勢與侷限性（補充資料）

對於基於OTP的賬戶，OTP通常透過簡訊或電子郵件傳送。OTP的優勢在於：

• 使用者無需從記憶中或透過外部工具（如瀏覽器或密碼管理器）檢索密碼。

• 使用者無需手動輸入複雜的密碼。

不過，OTP也有以下成本：

• 在網路不佳的情況下，OTP接收可能較慢。

• 尤其當OTP透過電子郵件傳送時，使用者需要在應用間切換並開啟郵件，還可能會遇到郵件被誤標為垃圾郵件的情況。

在移動裝置上，OTP出現在簡訊提示框頂部時體驗最佳。桌面端應提供簡訊或郵件OTP選項，確保響應式網站在不同裝置上體驗一致。

允許使用者使用生物識別登入，加快身份驗證。（調查顯示83%使用者至少偶爾使用生物識別，95%置信區間為73%-87%。）

註冊和登入的流程改進：

透過生物識別（如指紋、面部識別）簡化了登入過程，但註冊過程仍需滿足複雜的密碼要求，且這些要求通常未提前告知使用者。

無密碼賬戶

定義：無密碼賬戶無需固定密碼，使用者可安全登入，無需輸入任何記憶密碼。

無密碼賬戶主要分為兩種型別：

1. 基於OTP（一次性密碼）的無密碼賬戶

一次性密碼透過手機簡訊或電子郵件傳送，可用作臨時密碼進行身份驗證。OTP的優點在於使用者無需記憶或手動輸入密碼；但缺點包括：

等待OTP傳送，尤其在網路不佳時延遲較大。

如果OTP透過郵件傳送，使用者需切換應用檢視，且可能被誤認為垃圾郵件。

建議：即使支援OTP的無密碼賬戶，仍應讓使用者有選擇是否新增密碼的權利，以便在部分裝置上快速登入。同時，允許使用者選擇使用生物識別以加速登入。

2. 桌面端的OTP

在桌面或膝上型電腦上也可以使用OTP。如果透過簡訊傳送，使用者需在手機和桌面間切換，或使用跨裝置的文字同步功能（如Mac上的“資訊”應用）。對於響應式網站，建議提供簡訊和郵件選項，方便使用者選擇最適合的接收方式。

通行金鑰（Passkeys）

通行金鑰是利用生物識別技術實現無密碼體驗的另一創新：

建立和使用：使用者在支援通行金鑰的網站上註冊時，裝置會為其建立並加密儲存密碼。下次登入時，透過指紋或面部識別完成身份驗證併傳送加密的通行金鑰。

優點：通行金鑰無須記憶、儲存或輸入，且安全性更高，因為密碼儲存在裝置中，不易被攻擊或釣魚網站獲取。

限制：跨裝置使用時，如通行金鑰建立於iPhone，在Android或Windows上登入需掃描QR碼認證，但在Apple裝置間則可透過iCloud同步無縫登入。

設計無密碼賬戶的建議

為了確保使用者流暢的無密碼體驗，可參考以下建議：

提供備用選項：允許使用者在無密碼賬戶建立後新增常規密碼或使用生物識別，提供多種登入方式。

OTP的選擇：讓使用者在簡訊或郵件中選擇OTP接收方式，考慮到部分使用者可能只在當前裝置接收簡訊。

通行金鑰的多裝置支援：允許使用者在不同裝置間透過掃描QR碼登入，便於沒有儲存通行金鑰的裝置也能訪問賬戶。