iPhone 通行密鑰(Passkey)完整教學:不用密碼更安全的登入方式
Passkey 是以 Face ID/Touch ID 生物辨識取代傳統密碼的登入技術。在支援的網站或 App,選擇「使用 Passkey 登入」後以 Face ID 驗證,iPhone 即代你完成登入;私鑰從不離開裝置,無法被釣魚網站竊取。
先看結論
Passkey(通行密鑰)讓你用 Face ID 或 Touch ID 取代密碼登入網站與 App,私鑰從不離開你的裝置,釣魚網站無從下手。 前提只有一個:到「設定 → Apple ID → iCloud → 密碼與鑰匙圈」確認已開啟,其餘交給 iOS 自動處理。
Passkey 是什麼?原理一次講清楚
Passkey 不是「更複雜的密碼」,而是完全捨棄密碼字串的登入方式,背後是 FIDO2 / WebAuthn 國際開放標準,由 Apple、Google、Microsoft 三大平台聯合推動。
金鑰對的運作邏輯
每次你在某個網站建立 Passkey,iPhone 會在本機產生一組非對稱金鑰對:
| 角色 | 存放位置 | 可被傳送? |
|---|---|---|
| 公鑰(Public Key) | 網站伺服器 | 可公開,無密碼價值 |
| 私鑰(Private Key) | iPhone 安全隔離區(Secure Enclave)→ iCloud 鑰匙圈 | 永遠不離開你的裝置 |
登入時,網站發出一個隨機挑戰碼,iPhone 用私鑰簽名後回傳,網站以公鑰驗證簽名是否正確——若正確就放行。整個過程沒有密碼字串傳輸,就算有人在中間攔截,也只拿到對其他網站毫無用處的加密簽名。
為什麼釣魚網站沒用?
傳統密碼:釣魚頁面 app1e.com 顯示 Apple logo,你輸入密碼 → 攻擊者得到你的密碼,立刻登入真實 Apple 網站。
Passkey:私鑰綁定網域,只對 apple.com 有效。釣魚頁面 app1e.com 觸發 Passkey 請求,iOS 查看網域不對 → 拒絕使用,完全沒有什麼可以被竊取。
iOS 18 Passkey 設定路徑
第一步:開啟 iCloud 鑰匙圈(一次性設定)
設定 → 你的名字(Apple ID)→ iCloud → 密碼與鑰匙圈 → 開啟
開啟後,所有 iPhone、iPad、Mac 共用同一份 Passkey,換手機不用重建。
提示: iOS 18 把「密碼」獨立成一個 App,主螢幕可搜尋「密碼」(鑰匙圖示)找到,裡面同時管理密碼和 Passkey。
第二步:在支援服務建立 Passkey
以下以最常見的三個服務示範:
Apple ID
- Safari 開啟
appleid.apple.com並登入(仍需先輸入一次 Apple ID 密碼) - 進入「登入與安全性」→「通行密鑰」→「新增通行密鑰」
- iOS 彈出提示,以 Face ID 確認 → 儲存完成
- 下次登入 appleid.apple.com,輸入 Email 後直接以 Face ID 完成登入
Google 帳號
- Safari 或 Chrome 開啟
myaccount.google.com並登入 - 進入「安全性」→「如何登入 Google」→「通行密鑰和安全金鑰」→「建立通行密鑰」
- iOS 詢問「是否儲存 Google 的通行密鑰?」,點「繼續」→ Face ID
- 下次進 google.com 登入,選「使用通行密鑰」即可
GitHub
- Safari 開啟
github.com→ Settings → Password and authentication - 找到「Passkeys」區塊 → 點「Add a passkey」
- Face ID 確認 → 完成
- 下次登入時選「Sign in with a passkey」,Face ID 即完成
台灣常見服務支援狀況(2026 年)
| 服務 | 支援 Passkey | 備註 |
|---|---|---|
| Apple ID | ✓ | 完整支援,建議首先設定 |
| Google 帳號 | ✓ | 包含 Gmail、雲端硬碟等所有 Google 服務 |
| GitHub | ✓ | 需在設定中手動開啟 |
| Microsoft 帳號 | ✓ | Outlook、OneDrive、Xbox 共用 |
| Adobe | ✓ | 需在帳號安全性頁面建立 |
| PayPal | ✓(部分地區) | 台灣地區陸續開放中 |
| 玉山銀行 App | 測試中 | 正式上線前需留意版本更新 |
| 台新銀行 App | 測試中 | 同上 |
| 一般台灣電商平台 | 尚未普及 | FIDO 聯盟持續推動台灣業者加入 |
判斷方式:進入該服務「帳號安全設定」,搜尋「通行密鑰」、「Passkey」或「Passwordless」字樣,有就代表支援。
在非 Apple 裝置使用 iPhone Passkey
朋友的 Windows 電腦、公司的 Android 手機——這些裝置沒有你的私鑰,一樣可以借用 iPhone Passkey 登入:
- 在其他裝置的瀏覽器,選「登入」→「通行密鑰」→「使用其他裝置」
- 螢幕出現 QR Code,用 iPhone 相機掃描
- iOS 確認網域並以 Face ID 驗證
- 其他裝置自動完成登入
整個過程透過藍牙確認你的 iPhone 實體在場,私鑰從未傳送到那台陌生裝置。用完即止,不留任何憑證在對方裝置。
Passkey vs. 傳統密碼 vs. 密碼 + 2FA
| 比較項目 | 密碼 | 密碼 + SMS 2FA | Passkey |
|---|---|---|---|
| 可被釣魚網站竊取 | ✗ 可以 | ✗ 可以(即時轉傳) | ✓ 不行(網域綁定) |
| 可被資料庫外洩 | ✗ 可以 | ✗ 可以 | ✓ 不行(伺服器只存公鑰) |
| SIM 卡劫持風險 | — | ✗ 有 | ✓ 無(不靠簡訊) |
| 需要記憶 | 需要 | 需要 | 不需要 |
| 登入步驟 | 輸入帳號+密碼+驗證碼 | 同左 | 帳號 + Face ID(2步) |
| 跨裝置使用 | 任意 | 任意 | 需 iCloud 同步或 QR Code |
管理與刪除 Passkey
設定 → 密碼(或直接開啟「密碼」App)→ 搜尋服務名稱
Passkey 條目旁會有波形符號(非鑰匙圖示)加以區別。點進去可以:
- 查看建立日期與對應網域
- 點「刪除通行密鑰」移除(服務端的公鑰仍存在,需另行到該網站設定刪除)
刪除後,下次登入改回用密碼,需要時可重新建立新的 Passkey。
常見問題
Passkey 建立失敗怎麼辦?
- 確認 iCloud 鑰匙圈已開啟(最常見原因)
- 確認 Safari 為最新版本;部分服務僅支援 Safari,Chrome for iOS 相容性較差
- 確認 Face ID 或 Touch ID 功能正常
- 嘗試重新啟動 iPhone 後再操作
帳號被鎖定時 Passkey 還能用嗎?
Passkey 只負責驗證身份,帳號若因安全疑慮被服務方鎖定,仍需透過該服務的帳號恢復流程處理,與 Passkey 無關。
一句話總結: Passkey 是目前消費級最強的身份驗證方式。在 iCloud 鑰匙圈支撐下,它幾乎不增加操作負擔,卻能擋掉九成以上的帳號被駭情境。每建立一個 Passkey,就少一個可能外洩的密碼。
操作步驟
跟著做,點一下打勾常見問題
Passkey 是什麼技術?跟密碼有什麼不同?
Passkey 基於 FIDO2 / WebAuthn 國際標準,本質是一組非對稱加密金鑰對:私鑰(Private Key)存在你的裝置,永遠不離開;公鑰(Public Key)由網站保存。登入時網站發一個隨機挑戰值,iPhone 用私鑰簽名後回傳,網站用公鑰驗證,若一致就放行。全程沒有「密碼字串」傳輸,釣魚網站就算騙到你點進去,也拿不到任何可重複使用的憑證。
iPhone 換新機,Passkey 還在嗎?
有開啟 iCloud 鑰匙圈的話,換新機後登入相同 Apple ID,Passkey 會自動同步,不需重新建立。若是完全重置的 iPhone 且沒有 iCloud 備份,則需重新在各服務建立 Passkey。
台灣哪些服務支援 Passkey?
截至 2026 年,台灣用戶常用的服務中已支援 Passkey 的包括:Apple ID(apple.com)、Google 帳號(google.com)、GitHub、Microsoft 帳號(outlook.com、microsoft.com)、Shopify 平台商店、Adobe、Best Buy、Kayak、PayPal(部分地區)等。國內服務目前相對少,部分銀行 App(如玉山、台新)陸續在測試中,可留意各服務帳號安全設定頁面是否有「通行密鑰」選項。
Passkey 比雙重驗證(2FA)更安全嗎?
Passkey 本身就是雙因素的:你的裝置(所有物因素)+ Face ID/Touch ID(生物辨識因素),合併在一個動作完成。傳統密碼 + SMS 簡訊驗證碼仍有弱點——簡訊可被 SIM 卡劫持(SIM Swapping)或釣魚頁面即時轉傳;Passkey 因綁定網域,釣魚頁面的假網址無法觸發你 iPhone 上的 Passkey,根本騙不到。
Passkey 跟 Apple ID 密碼有衝突嗎?兩個都要設定?
不衝突。Passkey 是「替代密碼」的登入方式,不是「取代 Apple ID 帳號」。你的 Apple ID 帳號密碼仍然存在(Apple 目前仍要求 Apple ID 有密碼),但在支援 Passkey 的情境下,可以不用輸入密碼。兩者可共存,建議 Passkey 建立後保留原密碼作為備用。
別人拿到我的 iPhone,他可以用我的 Passkey 登入嗎?
不行。每次使用 Passkey 都需要通過 Face ID 或 Touch ID 驗證。若裝置鎖定,別人無法冒用;就算有你的手機 PIN 碼,也需要你本人的臉或指紋才能完成 Passkey 驗證(除非他們已突破 iOS 生物辨識,那是另一個安全層的問題)。
網站說「不支援通行密鑰」,我還能用 Passkey 嗎?
不行。Passkey 需要服務端也實作 WebAuthn 標準才能使用。如果該網站尚未支援,你仍需使用傳統密碼登入。建議在密碼管理工具(設定 → 密碼,或 iCloud 鑰匙圈)為尚未支援 Passkey 的網站存一組強密碼,等該服務上線 Passkey 後再切換。
iPad 和 Mac 也可以用 Passkey 嗎?
可以。Passkey 儲存在 iCloud 鑰匙圈中,同一 Apple ID 下的 iPad(iPadOS 16 以上)和 Mac(macOS Ventura 以上)都能直接使用,在 Safari 登入時以 Touch ID 或 Apple Watch 驗證即可,體驗與 iPhone 相同。