開場白

今天聚焦「帳密攻擊與通行金鑰」。
從攻擊者如何利用外洩憑證、密碼噴灑（Password Spray）、憑證填充（Credential Stuffing）談起，
再拉回防守端：多因子驗證（MFA）的盲點、Passkey/FIDO2/WebAuthn 的基本概念，
目標是讓你能「理解攻擊邏輯 → 辨識風險 → 列出強化清單」。

目標

• 認識帳密攻擊的流程與關鍵技術。
• 了解 Passkey 與傳統密碼/MFA 的差異。
• 建立可落地的帳號安全強化清單。

一、常見帳密攻擊類型

二、Passkey 與 FIDO2/WebAuthn

• Passkey：用「非對稱加密」取代傳統密碼登入。
  • 私鑰存在本機安全模組（TPM/安全晶片），不可外流。
  • 驗證時由公鑰確認身份，避免中間人與重放攻擊。
• 優點：
  • 無法被竊取重用（外洩憑證無效）。
  • 不受釣魚頁模仿影響（綁定原始網域）。
• 限制：
  • 相容性未全面普及（需支援 FIDO2 的瀏覽器/系統）。
  • 仍需備援登入機制（避免裝置遺失導致無法登入）。

三、防守策略（按優先順序）

1. 啟用強化登入：MFA 或 Passkey 為基礎。
2. 建立登入風控機制：檢測異常登入地點或裝置。
3. 減少憑證共用與重複使用。
4. 審視服務帳號與 API Token 有效期。
5. 維持審計與告警：異常登入、token 使用紀錄要可追蹤。

四、常見盲點

• 只開啟 MFA 卻未限制推送次數 → 易被「MFA 疲勞攻擊」繞過。
• 忽略「次級帳號」的安全，例如論壇帳號被入侵後能重設主信箱密碼。
• 忘記服務對服務（CI/CD、API Token）的安全性。
• 只追求密碼複雜度，而不檢查外洩與重用。
• 沒有還原與審計紀錄，導致事故後難追責與復原。

五、可驗收輸出（帳號強化清單範本）

📘 範例：

小結

帳密攻擊的本質不是技術戰，而是「重複使用憑證」與「忽略風險分級」。
Passkey 的出現是密碼時代的轉捩點——它讓「外洩密碼」正式失效。
你的任務不是背名詞，而是逐步把帳號改成「無密碼」或「強驗證」架構。