在數位安全領域，無密碼認證技術如生物辨識、通行鑰匙（passkeys）及令牌正迅速普及，但帳戶恢復機制卻隱藏重大風險，可能讓低階攻擊者輕易接管用戶帳號。根據美國諾基亞貝爾實驗室資深安全研究科學家Sid Rao與芬蘭Wolt安全工程師Gabriela Sonkeria在上週於拉斯維加斯舉行的Black Hat USA 2025黑帽大會上發表的最新研究，這項轉移至無密碼時代的變革雖提升日常登入便利性，卻因恢復流程依賴不安全的電子郵件與簡訊通道，而暴露弱點。 研究員強調，帳戶恢復是常見現象，統計顯示每五名用戶中就有四人曾在過去90天忘記密碼，25%用戶每天依賴恢復功能，卻未獲足夠保護。

 

 

Rao與Sonkeria的演講主題聚焦於「無密碼帳戶恢復的隱藏風險」，他們測試全球22個最常造訪的網站，發現多數平台在恢復機制上存在設計缺陷、安全政策弱點及缺少最佳實務。這些漏洞不僅限於高階駭客，甚至低技術門檻的攻擊者也能利用，導致帳戶被永久鎖定或接管。「帳戶恢復非常普遍，統計數據也證實這點，」Rao在會中表示，引用數據指出用戶忘記密碼的頻率驚人。 他們設計了良性用戶與半惡意用戶的測試情境，模擬真實攻擊路徑，揭露恢復流程的脆弱性。

具體而言，研究發現帳戶恢復往往缺乏多因素認證（MFA），這成為最大隱憂。Sonkeria解釋：「我們觀察到恢復過程中未使用多因素認證。如果有攻擊者想接管帳戶，他們只需觸發恢復，服務提供者就會允許。」 攻擊者可透過改變恢復方法，例如替換電子郵件或手機號碼，導致合法用戶永久無法存取帳號。更嚴重的是，許多網站未要求用戶證明對電子郵件或手機的存取權，便允許使用這些通道進行恢復。這意味著，若攻擊者已控制受害者的電子郵件（例如透過釣魚或SIM卡交換攻擊），便能輕鬆重設帳號。

 

 

此外，測試顯示網站在驗證方法上不一致，且允許活躍的平行會話存在。攻擊者可同時登入多個裝置，而系統未強制終止舊會話或發送警報。這類設計缺陷放大風險，尤其在無密碼環境下，用戶原本期望更高安全性，卻因恢復環節疏忽而前功盡棄。研究員指出，這些弱點超越單純駭客行為，多數熱門網站至少有一項漏洞，甚至更多未被發現。

Keeper Security執行長Darren Guccione補充意見，強調服務提供者須實施嚴格驗證流程，包括限制認證嘗試次數，並防範社會工程攻擊。「尤其是當有人聯繫客服時，必須小心確認，以免落入社會工程陷阱，」他說。 Guccione建議用戶選擇兩因素恢復選項，例如結合生物辨識與備用電子郵件；企業則需強化會話管理，如在恢復後終止所有登入會話，並要求新憑證登入。同時，發送即時警報給用戶，通知任何恢復嘗試。

 

 

此研究在Black Hat USA大會上引起廣泛關注，該大會於2025年8月7日至10日舉行，匯聚全球資安專家討論最新威脅。無密碼認證的興起，本意在解決傳統密碼的痛點，如易忘記或被破解，但恢復機制的滯後成為新瓶頸。根據文章，相關事件已見諸報端，例如GitLab的嚴重漏洞允許帳戶接管，已被美國網路安全與基礎設施安全局（CISA）列入警示；或GitHub與Microsoft的通行鑰匙攻擊，顯示無密碼系統並非萬無一失。

 

 

在台灣，無密碼認證正逐步滲透金融、科技與電商領域，例如銀行App採用指紋或臉部辨識登入，但帳戶恢復仍多依賴簡訊OTP或電子郵件，易遭SIM卡劫持或釣魚攻擊。資安專家警告，台灣作為亞洲科技樞紐，企業如台積電或金融機構若忽略此風險，可能面臨供應鏈中斷或資料外洩危機。近期RSAC 2025會議也討論AI在無密碼進展中的角色，但強調身份驗證的全面性。

 

 

研究員呼籲，服務提供者應重新檢視恢復流程，融入多層防護。例如，強制用戶在恢復前證明對備用通道的控制權，並整合進階生物辨識。用戶則可主動啟用額外安全措施，如使用硬體安全鑰匙或第三方密碼管理器。Guccione指出，教育用戶辨識社會工程攻擊至關重要，避免因客服互動而洩露資訊。

 

 

此發現提醒產業，無密碼轉型雖是大勢所趨，但不能忽視恢復環節的「隱藏風險」。若不即時修正，低階攻擊者即可利用規模效應，發動大範圍帳戶接管。Black Hat演講不僅揭露漏洞，還提供實務測試框架，讓開發者模擬攻擊情境。展望未來，結合量子加密或AI輔助驗證，可能強化系統韌性。

 

 

在全球資安威脅升溫之際，台灣政府與企業應借鏡此研究，強化數位基礎設施。國家通訊傳播委員會（NCC）可推動相關指南，確保無密碼應用符合最佳實務。最終，用戶安全意識是防線最後一環：定期檢查帳戶設定，避免依賴單一恢復通道。透過這些措施，無密碼時代才能真正安全落地，而非成為攻擊者的溫床。