淺談無密碼身分識別優勢
資訊環境愈趨複雜,身份與存取管理是授予所有組織IT資源存取權限的入口,也是資訊安全的第一道防線,因此提升身份識別安全等級與IT存取控管成為當務之急;隨著網路應用越來越多,要記住自己的身分、密碼,是每個使用者都在面對的困境,且仍有不少企業的網管人員仍以手動維護線上多個不同系統的帳戶資料,這種方式不僅管理複雜,也無形中為企業增添不少管理成本。
傳統以密碼為身分驗證的方式,密碼能使人們在網際網路上的資訊多一層隱私,也同時成為資料安全保護機制中的一項弱點,容易衍生出密碼管理的問題,不僅是易於暴力破解的弱密碼,同一組帳密用在多個網站平台的問題更是嚴重,有多家資安公司指出,自動化的帳號密碼填充攻擊(俗稱撞庫)手法,就是使用大量外流的電子郵件與密碼來嘗試入侵,由於密碼使用與管理衍生安全問題,改用無密碼登入的做法日益受到肯定。
一、什麼是無密碼身分識別?
企根據調查顯示,許多專業稽核與法規遵循人員都認為,企業在進行身分管理與存取管控(Identity and Access Management,IAM)的工作上面做得並不理想。以密碼登入,密碼可能被共享、猜測或竊取,導致資料外洩,無法完全的保護使用者資訊。
由於密碼使用與管理衍生安全問題,改用無密碼登入的做法日益受到肯定,特別是FIDO*標準推出多年後,有了多方面的進展,包含PassKey在全球的興起,臺灣政府與金融業對FIDO的應用正變得越來越廣泛,IoT設備身分識別FIDO標準也有新進展,也促成無密碼應用普及;無密碼身分驗證能讓使用者無需建立和輸入密碼或回答安全問題即可登入,使用者須通過多種身分驗證形式,以證明是否為本人,例如:設備PIN或指紋等生物辨識。通常會與多重要素驗證或單點登錄(Single Sign-On,SSO)結合使用,以改善用戶體驗、增強安全性並降低營運費用和複雜性。
FIDO(Fast IDentity Online)聯盟是成立於2012年7月的行業協會。其宗旨是為解決強制認證設備的交互性和用戶面臨大量複雜的用戶名和密碼。
二、什麼是FIDO標準?
而隨著駭客入侵事件與帳號盜用事件的層出不窮,全球也開始對資安日趨重視,傳統以帳號密碼驗證身份的方式已不再是科技巨擘們眼裡最安全可靠的登入途徑,就在網路日漸發達、雲端軟體服務及科技日新月異的背景之下,造就了新世代的網路識別標準 FIDO(Fast Identity Online)的問世。
我國數位發展部於2023年1月加入國際身分識別標準組織FIDO Alliance (下稱FIDO 聯盟)。 此舉將加速我國與全球政府單位及跨國企業的互動,不僅與國際大廠共同參與制定國際標準,強化身分識別標準接軌國際,並擴大產業應用,同時更強化數位產業安全與韌性;然而 FIDO的特色在哪?無密碼驗證又意味著什麼?
FIDO 是指由同名的非營利組織 FIDO 聯盟所訂定的一套網路識別標準,意在確保登入流程中伺服器及終端裝置協定的安全性。而這套識別標準透過公開金鑰加密(Public Key Cryptography)的架構進行多重因素驗證(MFA)以及生物辨識登入來強力且嚴密地保護雲端帳號的個資。這幾年來,FIDO的應用有兩次重大進展,一次是FIDO(Fast Identity Online)聯盟在2018年推出FIDO2標準,其核心的WebAuthn規格被W3C聯盟接納成為正式的Web標準,而在Web應用有統一的標準遵循之下,使得推動多年的密碼登入應用,終於有了進一步普及的可能性。
FIDO其最大的特色在於所有的協定都是建立於公開金鑰加密(Public Key Cryptography)之上,這樣的架構也能使「伺服器端將不再保管祕密」。在傳統密碼的驗證架構中,使用者的終端裝置與伺服器之間互相都知道帳號與密碼,或是以密碼產生的雜湊函式來驗證。另一方面,FIDO 則是採用公開金鑰基礎架構的驗證模式,在 FIDO 認證伺服器端(FIDO Authentication Server)只保存相對應的公鑰,而私鑰則僅保存在使用者的裝置端,因此使用者在登入時只需提供個資給終端裝置解鎖私鑰,再透過這個步驟解鎖公鑰進行登入。使用者的機密個資可以不再集中於雲端服務的伺服器上管理,而是採用分散式處理的方式將個資分別存放在使用者的終端裝置上,再透過公鑰及私鑰的架構來登入雲端服務。如此,使用者的個資就不必被上傳到雲端,除了能有效保護資料,也能讓使用者在登入的過程中更放心。而這樣的公開金鑰架構分別應用在 FIDO 的三大認證協議上,分別為 FIDO UAF、FIDO U2F 以及 FIDO2。
三、無密碼身分驗證的方式
無密碼身分驗證是保護系統、機密和重要關鍵數據不受侵害最有效的方法,例如採用多因素身分認證和生物辨識即是無密碼身分驗證的一種好的做法,對於使用者來說,無須記住任何文字符號即可登入系統。現在使用手機時所啟用的臉部辨識或指紋辨識功能,就是利用了生物特徵取代密碼以識別使用者的身分,不僅提高安全性與便利性,也是無密碼身分驗證的有效示範。此外,通行密鑰(passkey)一詞成為多裝置FIDO驗證的簡稱,能夠以更方便的方式,應用在多個設備使用FIDO網路身分識別。
目前無密碼發展,Apple、Google和微軟承諾在未來正式支援W3C以及FIDO聯盟所制定的「無密碼登入」標準,希望能在不同系統的裝置之間,省去輸入密碼的步驟,利用生物辨識完成快速登入,無需密碼也作為帳戶恢復方法。
四、無密碼身分驗證之優點
- 更強的網路安全環境: 無密碼身份驗證可對最普遍的網路攻擊進行保護–網路釣魚,代表即使使用者收到網路釣魚電子郵件或連上網路釣魚網站,用戶並沒有密碼可以提供。加上創建虛假的一次性密碼(One-Time Password,OTP)、發送通知或指紋來進行身份驗證是相當困難的,種種因素皆提升用戶的網路安全環境。
- 更好用戶體驗: 因為忘記密碼導致用戶不便,使用無密碼身份驗證後,這些問題即可迎刃而解,並且便捷的登入能夠減少用戶花在管理密碼上的時間。
- 降低長期成本: 長期下來可大幅降低管理成本。不再存儲密碼、重置忘記的密碼,也不再因資料可能外洩而煩惱。
| ►◆ 了解無密碼身分識別解決方案 ◆◀ | ►◆ 了解支付安全解決方案 ◆◀ |
東捷資訊為您提供最專業且完整的資訊及業務流程委外服務,協助企業邁向數位轉型與永續經營目標。
請填寫下方資料,便於盡快與您聯繫
若您需要立即的支援與服務,
請撥打諮詢電話02-5551-9890,謝謝!
