密碼認證時代應該結束了。2025 年的數據揭示一個驚人事實:美國企業每年因密碼相關問題損失數百萬美元,而用戶平均管理 255 組密碼,導致 78% 的人重複使用密碼,83% 在 90 天內需要重設密碼。更關鍵的是資安專家已達成共識:強制定期更改密碼不但無效,反而會降低安全性。美國國家標準技術研究院(NIST)自 2017 年起明確建議企業停止強制密碼更新,而 Microsoft、Google、Apple 等科技巨頭已全面轉向無密碼認證,其中 Apple 透過自動生成複雜密碼和生物識別,讓傳統密碼登入形同虛設。這場轉變除了是技術升級,更是商業必然。採用 passkey 等現代認證方式的企業在 3 年內可獲得 240% ROI,支援成本降低 55%,而用戶登入成功率從 32% 躍升至 98%。隨著全球已有 150 億個帳號支援 passkey、超過 10 億人啟用至少一組 passkey,問題已不再是「是否」該轉型,而是「何時」轉型。對於仍堅持密碼認證的企業,每一天的延遲都意味著更高的成本、更差的用戶體驗以及更大的資安風險。
用戶已對密碼疲勞忍無可忍
現代用戶面臨的密碼管理負擔已達到臨界點。2024 年 NordPass 研究顯示,平均每人需要管理 255 組密碼——168 組個人帳號加上 87 組工作相關帳號,相較 2020 年的 100 組增長超過 150%。這種認知超載直接導致安全崩潰:47% 的美國人每月至少忘記密碼數次,15.3% 的人每週至少忘記一次。更令人憂心的是 Z 世代,雖則是數碼原生代,卻有 30% 經常或總是忘記重要帳號密碼,62% 因管理密碼感到壓力。強制密碼更改政策已成為用戶最痛恨的功能之一。
83% 的美國人在過去 90 天內被迫重設個人密碼,62% 重設過工作密碼,而 51% 的用戶每月至少重設一次密碼,15% 每週至少一次。Bitwarden 2025 年調查更揭露一個驚人事實:55% 的用戶寧願放棄帳號或創建新帳號,也不願經歷密碼重設流程。這種「密碼重設比塞車或丟車鑰匙更令人沮沮喪」的用戶體驗,正在直接損害企業的底線。密碼複雜度要求同樣引發廣泛不滿。21% 的用戶對複雜密碼規則感到惱火,30% 認為需要記住的密碼數量是最大困擾,24% 抱怨頻繁的密碼更改要求。
更嚴重的是 69% 的美國人對需追蹤的密碼數量感到不知所措,45% 對密碼是否夠強感到焦慮。這種壓力直接導致危險的安全行為:78% 的人在多個帳號重複使用密碼,52% 在至少 3 個帳號使用同一密碼,4% 在 11 個以上帳號使用相同密碼。當用戶被迫在「方便」與「安全」之間選擇時,46% 承認會選擇容易記住的密碼,即使知道這樣不安全。
Apple 用家 2013 年已「解脫」
Apple 早於 2013 年已經讓傳統密碼「名存實亡」,iOS 7 推出的 iCloud鑰匙圈(iCloud Keychain)功能改變了數億用戶與密碼的關係。當時 Apple 開始在 Safari 瀏覽器提供自動填充密碼功能,並將密碼透過 256 位元 AES 端對端加密同步到用戶所有登入同一 Apple ID 的裝置 (橫跨手機、nobtebook 及 desktop) 。更關鍵的是,系統開始主動建議用戶使用自動生成的強密碼——那些看起來像「xK9mP2#qL5@nR8!wV3」或「T7#pQ2&mL9 vR4@nK8」的隨機字串。
這些密碼有個共同特點:用戶根本不會記住,也不需要記住。每當創建新帳號或更改密碼時,系統自動生成、自動儲存、自動同步、自動填充。用戶可以擁有數百個帳號,卻從未手動輸入或甚至看過密碼本身。密碼技術上存在,但對用戶而言完全不可見。整個認證流程由生物識別驅動——用 Face ID 或 Touch ID 解鎖裝置,Safari就自動填入密碼完成登入。這種體驗本質上已經是「無密碼」的,只是底層技術仍使用傳統密碼機制。絕大多數 Apple 用戶已經多年沒有「記憶」或「輸入」密碼的經驗,他們知道的只是用臉或指紋解鎖,然後「就登入了」。
Windows 用家在 2015 年於 Google 可將密碼跟 Android 手機、Chrome 雲同步後,才開始大量「忘記」密碼。其後 2017 年自家的 Edge 也開始實現類似的功能。 所以全地球人類應該由 2017 年開始,應該讓帳號密碼變成名存實亡,正如電話號碼一樣,不用再記住。
密碼的沉重代價
企業可能還認為,不升級舊認証系統才是最安全及節省成本,但其實不少報告指出背後損失數字是十分驚人。
- 電商銷售損失:
MasterCard 與牛津大學聯合研究發現,33% 的網上購物在結帳時因密碼問題而放棄。Baymard Institute 數據顯示,18% 的現有用戶因忘記密碼而在結帳時離開
Beyond Identity 調查更發現,消費者願意為避免密碼重設而放棄的平均購物車價值為 162 美元(約港幣 HK$1,264)。
- IT 支援成本:
Gartner 2024 年數據顯示,40% 的 IT 支援請求與密碼相關,這是所有類別中最大的單一項目。
Forrester 研究確立的行業基準顯示,每次密碼重設成本為 70 美元(約港幣 HK$546),而大型企業每年在密碼相關支援上的開支超過 100 萬美元(約港幣 780 萬元)。對於 1,000 名員工的中型組織,若每人每年重設一次密碼,直接成本就達 7 萬美元(約港幣 HK$546,000)。 - 生產力損失:
Yubico 研究顯示,員工平均每年花費 10.9 小時輸入或重設密碼。以時薪 32 美元(約港幣 HK$250)計算,每位員工年損失 420 至 480 美元(約港幣 HK$3,276 至 HK$3,744)。對於 15,000 人的大型企業,這意味著每年 520 萬美元(約港幣 4,056 萬元)的生產力損失。 - 資料外洩成本:
這是最災難性的成本。IBM 2024 年資料外洩成本報告顯示,全球平均資料外洩成本為 488 萬美元(約港幣 3,806 萬元),在美國更高達 936 萬美元(約港幣 7,301 萬元)。Verizon 報告確認,16% 的資料外洩源於被竊憑證,這是最常見的初始攻擊媒介。這是由於企業還在使用舊式單密碼認證系統所造成
資料外洩主因不在於用戶密碼
資安社群的一個關鍵認知正在顛覆傳統觀念:大多數資料外洩並非因為用戶選擇弱密碼,而是因為整個系統被攻破。Verizon 2024 年資料外洩調查分析了 30,458 宗資安事件和 10,626 宗確認外洩案例,發現雖然 16% 的外洩涉及被竊憑證,但系統層級的問題才是主導因素:軟件漏洞利用佔 14%(較前年增長 3 倍)、供應鏈攻擊佔 15%(年增 68%)、雲端配置錯誤佔重要比例、人為錯誤佔 28%。關鍵洞察是:當憑證被竊時,80% 的情況是從其他已被攻破的系統竊取,而非直接猜測密碼。
2024 年重大資料外洩案例清楚說明這個模式。Change Healthcare 事件影響超過 1 億人,根本原因是 Citrix 入口缺乏多因素驗證,而非密碼太弱。National Public Data 洩露 29 億筆記錄,起因於資料庫安全控制不足。Snowflake 相關的一系列外洩(影響 Ticketmaster 的 5.6 億客戶、AT&T 及其他企業)是因為攻擊者使用從其他外洩事件竊取的舊憑證加上缺乏 MFA。Capital One 的 1 億筆申請資料外洩源於雲端配置錯誤。這些案例的共同點是:問題出在系統架構、存取控制和配置,而非用戶在該系統上創建的密碼強度。更具破壞性的是權威機構已確認強制密碼更改政策實際上會降低安全性。NIST SP 800-63B 自 2017 年起明確建議:驗證者不應要求任意更改記憶式密碼,除非有洩露證據。2024 年草案更將建議升級為強制要求(從「SHOULD NOT」改為「SHALL NOT」)。
北卡羅來納大學研究分析了 51,141 組密碼後發現,當用戶被要求每 90 天更改密碼時,17% 的新密碼可在 5 次嘗試內從舊密碼猜出,41% 可在幾秒內破解。用戶創建可預測的轉換模式:Password1 變成 Password2、冬季 2024 變成 春季 2024、S 替換成 $ 符號。Microsoft 安全研究更指出,攻擊者幾乎總是立即使用竊取的密碼,遠早於任何 60 至 90 天輪換週期生效。聯邦貿易委員會首席技術專家 Lorrie Cranor 的研究發現,被迫頻繁更改密碼的用戶一開始就會選擇更弱的密碼,更可能將密碼寫下來,而對密碼政策感到煩擾的用戶會選擇明顯更弱的密碼。Carnegie Mellon 大學 2020 年安全行為觀察站研究追蹤 249 名用戶經歷真實外洩事件,發現即使收到外洩通知,也只有 1/3 更改密碼,而當他們更改時,新密碼往往比原密碼更弱。這些證據彙集成一個不可辯駁的結論:傳統的密碼安全策略——強制定期更改、複雜度要求、禁止重複使用——在 2025 年不但無效,反而適得其反。
現代認證的務實解決方案
Passkey 與 Magic link
Passkey (通行金鑰) 已從新興技術快速躍升為主流認證方式。截至 2024 年底,全球已有超過 150 億個網上帳號支援 passkey,較 2023 年的 75 億翻倍;超過 10 億人至少啟用一組 passkey;消費者認知度從 2022 年的 39% 躍升至 2024 年的 57%,增長 50%。FIDO 2024 年報告顯示,84% 消費者熟悉 passkey,其中 62% 已完成轉換。企業方面,87% 美英企業已部署或正在實行 passkey,67% 將其列為高度或關鍵優先事項。
Passkey 技術優勢直接轉化為可衡量的商業成果。Google 報告其 8 億個 Google 帳號使用 passkey,完成超過 25 億次 passkey 登入,登入成功率比密碼高 4 倍 (63.8% vs 13.8%),速度快 2 倍 (14.9 秒 vs 30.4 秒)。Microsoft 每天註冊近 100 萬個 passkey,成功率達 98% (密碼僅 32%),登入速度比密碼加 MFA 快 8 倍。TikTok 實行 passkey 後達成 97% 登入成功率 (平台最高之一),速度快 17 倍。Sony PlayStation 全球推出後,網頁登入快 24%,註冊完成率達 88%。日本 Tokyu Corporation 有 45% 用戶使用 passkey,登入速度比密碼加 OTP 快 12 倍。
技術原理確保了這些成果。Passkey 基於 FIDO2 標準 (WebAuthn + CTAP2),使用公鑰密碼學:私鑰安全儲存在裝置上 (如 iPhone 的 Secure Enclave),公鑰發送給服務供應商。登入時,服務發送挑戰,裝置以私鑰簽署 (需經生物識別或 PIN 驗證),服務用公鑰驗證簽章。這個流程天生防釣魚——passkey 與特定網域連結,在假網站上根本無法使用。沒有共享密碼可被攔截、竊取或重複使用,消除了導致 81% 黑客入侵的弱密碼問題。由於結合「你擁有的東西」(裝置) 和「你是誰」(生物識別) 或「你知道的東西」(PIN),單一認證方法就提供多因素安全性。
Magic link (魔法連結) 提供另一種無密碼途徑,特別適合特定使用場景。用戶輸入電子郵件,系統生成含嵌入式令牌的唯一、限時 URL 並發送,用戶點擊連結即完成驗證,連結在使用後或逾時失效。Slack、Medium 等主要平台採用 magic link 作為無密碼登入選項。優勢在於簡化的單點擊登入流程、消除密碼記憶負擔、加速新用戶入職、降低 IT 支援成本。Bitwarden 於 2024 年 4 月發布 magic link API,整合進更廣泛的無密碼策略。
無密碼認證的多元技術生態
2025 年認證革新除了 passkey 和 magic link,更形成了完整的技術生態系統。去中心化身份 (DID) 讓用戶完全掌控數碼身份,透過區塊鏈儲存的全球唯一識別符和可驗證憑證,支援選擇性披露——例如證明年齡超過 18 歲而不透露實際出生日期。行為生物識別則透過分析打字節奏、滑鼠移動、觸控手勢等獨特模式提供連續認證,幾乎無法被複製且無需額外硬件。TypingDNA 等解決方案已被 Gartner 認定為數碼身份領域的樣本供應商,銀行業採用作為背景安全層。
零知識證明 (ZKP) 認證代表私隱保護的最前沿,允許用戶證明資料真實性而無需透露資料本身。Apple Wallet 的流動駕照功能已在實際應用中採用這項技術,用戶可證明年齡而不暴露出生日期。Gartner 預測到 2025 年將有 30% 企業實行某種形式的 ZKP 技術,採用者的身份相關安全事件減少 60%。連續認證結合 AI 和機器學習,在整個會話期間持續監控用戶行為,符合 NIST 零信任架構的「從不信任,總是驗證」原則,特別適合遠端工作和呼叫中心環境。零知識生物識別更進一步,結合生物識別便利性與私隱保護,生物識別資料不儲存在任何地方,被動活體檢測在 300 毫秒內完成,比傳統方案快 5 倍。
兩種方法日益搭配使用,為用戶提供靈活選擇。Passkey 提供最高安全性和最佳用戶體驗,適合常規使用;magic link 適合一次性連接、共享資源、偶爾使用的用戶或快速帳號創建。企業部署策略應根據用戶角色、連接頻率和安全需求選擇適當方法。82% 組織採用混合方式,同時部署裝置連結和同步 passkey,確保安全性與便利性的平衡。
務實的轉型路徑 從最低成本開始
對於希望快速啟動無密碼轉型的企業,magic link 是成本最低、實行最快的起點。只需修改現有登入流程,生成限時 URL 並透過既有的電郵系統發送,無需額外硬件或複雜的加密基礎設施,開發時間通常在 1-2 週內。Slack 和 Medium 的成功證明這條路徑的可行性,特別適合 B2C 應用、內容平台和偶爾連接的服務。
行為生物識別是最「無痛」的升級方案,因為它完全在背景運作,利用現有的鍵盤、滑鼠等裝置,用戶甚至不會察覺認證正在進行。企業可先在高風險場景 (如金融交易、敏感資料存取) 部署,作為現有密碼或 MFA 的補充層,而非完全替代。TypingDNA 等解決方案提供即插即用的 SDK,整合時間通常少於一個月,且能立即降低帳號接管風險。
Passkey 雖然技術門檻較高,但投資報酬率最優。建議採用漸進式策略:首先與 Microsoft Azure AD、Okta 等成熟 IAM 平台整合,利用它們已完善的 passkey 基礎設施,避免從零開始。從內部員工或技術熟悉的用戶群體試點,收集反饋後再擴展至全體用戶。Apple、Google、Microsoft 的生態系統已內建 passkey 支援,企業若主要服務這些平台的用戶,實行阻力將大幅降低。
最經濟的策略是混合部署:magic link 處理低頻連接和新用戶註冊,passkey 服務常規登入,行為生物識別在背景提供連續保護,三者結合可在 3-6 個月內完成基礎轉型。至於 DID、ZKP 等前沿技術,可視為中長期演進方向,當監管壓力 (如歐盟 eIDAS 2.0) 或私隱要求提升時再納入規劃。關鍵是立即行動——從最簡單的 magic link 開始,建立無密碼文化,再逐步引入更先進的技術,而非等待完美方案而錯失先機。
無密碼轉型的可觀回報
與高昂的成本相對,轉型無密碼的商業回報是立即且巨大的:
直接 ROI:
- Forrester 針對 Microsoft Azure AD 的研究顯示,3 年內 ROI 達 240%,淨現值 850 萬美元(約港幣 6,630 萬元)。
- Twilio Verify 的 2024 年總體經濟影響研究確認 174% ROI
實際案例佐證:
- Vivint Solar 透過 Okta 實施無密碼後,密碼重設請求減少 95%,IT 節省超過 50 萬美元(約港幣 390 萬元)。
- 日本 KDDI 為 1,300 萬 au ID 客戶部署 FIDO,客服電話減少 35%。
- Yahoo! JAPAN 擁有 2,700 萬活躍 passkey 用戶,約 50% 的智能手機認證現已使用 passkey。
- Intuit 5 年內註冊 7,700 萬個 FIDO,成功率達 95% 至 97%(密碼基準為 80%),登入速度快 70%。
- Air New Zealand 和 Mercoin(Mercari 子公司)實現零憑證填充和釣魚攻擊。
- MojoAuth 金融科技客戶報告密碼重設工單減少 55%,詐騙和帳戶接管嘗試減少 40%。
市場與監管的強勁驅動力
用戶接受度已不再是障礙。57% 的消費者認知 passkey,84% 熟悉其中 62% 已轉換。企業端 90% 組織報告中到強的安全改善,82% 觀察到對用戶體驗的正面影響。
市場動能強勁且加速。全球無密碼認證市場 2025 年達 220 億美元(約港幣 1,716 億元),預計 2030 年達 557 至 600 億美元(約港幣 4,345 億至 4,680 億元)。同時監管驅動器確保採用曲線只會陡峭上升,包括歐盟 eIDAS 2.0(2026 年數碼身分錢包)、NIST SP 800-63-4(2025 年正式承認 passkey)以及美國聯邦機構需在 2025 年前實施抗釣魚 MFA。
立即行動:延遲就是損失
對於企業領導者,問題已不是「是否」轉型,而是「多快」轉型。每延遲一季就多損失數十萬美元支援成本、流失更多因密碼挫折而放棄的客戶、承受更高的資料外洩風險。競爭對手已在行動——金融機構、零售商、科技平台爭相實施,因為他們理解這是競爭優勢的來源:更快的登入、更高的轉換率、更滿意的用戶、更低的營運成本、更強的安全態勢。
實施路徑清晰可行。從試點群體和漸進式註冊開始,使用識別碼優先流程和條件式 UI,投資用戶教育(90% 組織認為這是關鍵),採用混合部署(同步和裝置連結 passkey),與專業平台合作可加速部署 75%。最重要的是聚焦優化以實現 50% 以上的登入率,而非基礎實施的 5%。Corbado 數據顯示,基礎 DIY 方法 24 個月節省 292,140 美元(約港幣 HK$2,278,692),而優化企業方法節省 3,971,880 美元(約港幣 HK$30,980,664)——差異達 368 萬美元(約港幣 2,870 萬元),證明投資專業實施的價值。
在 Apple 用戶已普遍透過生物識別無縫登入、Z 世代對頻繁密碼重設感到挫折、網絡攻擊者每秒發動 7,000 次密碼攻擊的 2025 年,堅持傳統密碼認證除了過時,更是對企業資源的浪費、對用戶體驗的傷害、對資安風險的漠視。無密碼認證的商業案例已無可辯駁:更好的安全性、卓越的用戶體驗、顯著的成本節省、可觀的 ROI。轉型的時刻就是現在。
資料來源:
Microsoft Security Blog
Colorlib
Secureframe
FinancesOnline
Enzoic
Comparitech
Freemindtronic
TeamPassword
CDOTrends
9to5Mac
MacDailyNews
MojoAuth
FIDO Alliance
SMB Guide
Bitwarden
Statista
Security Magazine
Okta
Baymard
Enzoic – IBM Report
Pentera
Bluefin
Panda Security
VikingCloud
IBM
Federal Trade Commission
Carnegie Mellon University
Descope
LevelBlue
LoginRadius
Help Net Security
ID Tech Wire
AppleInsider
Twilio
OwnID
Prove
FIDO Alliance – Intuit Case Study
Corbado
Penthara
JumpCloud
Spacelift
MojoAuth – E-commerce
Enzoic – Password Expiration
