【全面解析FIDO網路身分識別】無密碼新時代將至！解決網路密碼遭竊與盜用問題

在登入網路服務時所使用的密碼，衍生的管理問題，已成網路安全一直在關注的防護面向，不只是使用者會忘記，以及設定弱密碼或相同密碼等狀況，更嚴重的問題還是在大量帳密外洩，以及偽冒網站的網路釣魚，進而造成的企業與個人資產損失，是全球企業與民眾都在面對的問題。

值得注意的是，過去提出的兩步驟驗證，以及雙因素驗證，就是希望能解決一些密碼安全性不足的問題，多一道強化身分驗證的關卡與因子，然而，在現行多元的驗證方式中，也有些已經不夠安全，如常見的簡訊OTP，根據2016年美國國家標準技術研究所（NIST），發布的數位身分認證指南，就建議企業不要再透過電信的簡訊與電話語音，來執行二次驗證，因為這無法避免中間人攻擊與網路釣魚的威脅。甚至，未來的量子電腦一旦普及，勢必也將威脅到公鑰密碼系統。

要如何解決密碼所造成的各式問題，是幾十年來大家不斷在思考的事情，而捨棄傳統密碼，就是最新的一大發展態勢，並且已經發生。

為了密碼安全的問題，過去每隔10年就有一大新變革，未來將朝向無密碼邁進

在兩個月前的2018 FIDO臺北研討會上，歐生全副總經理黃啟峰分享了數位化時代的認證機制發展，關於使用密碼這件事，由來已久，而為了密碼安全的問題，業界也不斷推動許多的因應措施，例如以雜湊保護密碼，發展出動態密碼、公開金鑰基礎架構，防機器人登入的驗證機制，近年還有兩步驟驗證、雙因素認證等，而從最新的發展趨勢來看，朝向的目標就是強式多因素驗證，以及無密碼驗證。

新世代網路身分識別FIDO標準崛起，進入無密碼時代

關於新興身分驗證方式的議題，除了繼續關注各種技術的最新進展，產業的部分也有新的變化。首先，我們要認識一下FIDO（Fast Identity Online）聯盟，它是在2012年成立，屬於非營利的產業聯盟，目標是為各種網站和行動服務提供一套開放、互通的標準，以解決近年身分認證技術彼此之間，缺乏互通性的問題，並希望讓使用者不用再以傳統的輸入密碼方式，來進行身分辨識。

發展至今，該聯盟已有超過250個會員加入，包括最早支持的PayPal、英飛凌，以及Google、微軟等雲端巨擘，而且，從晶片、設備與生物特徵解決方案業者，網路服務商、金融機構到政府組織，都有業者參與其中，這已經是整個產業生態為迎向未來趨勢，都期許要推動的一個新開放標準。

在2018年11月底，也就是兩個月前，FIDO聯盟在臺舉行的2018 FIDO臺北研討會，並與國內神盾公司合作舉辦，也讓FIDO這樣的新興議題，受到更多國內產業、企業與政府的關注。

更重要的是，現在這個時間點，其實也是FIDO標準與無密碼登入，有望快速擴張的一年，這將是國內各界都不能忽視的新趨勢。關鍵因素之一，就是新FIDO2標準在2018年推出，同時被納入國際網路與電信標準，甚至有業者開始宣告無密碼元年的到來。

事實上，在這幾年全球雲端大廠的不斷推動下，例如，微軟在2018年9月開始預告「密碼時代的結束」；今年1月初，Google公布2019年資安趨勢預測中，對於雲端的身分與安全，也指出將有更多服務會採用更強的雙因素驗證方法，以防範網路釣魚，並採用FIDO標準，將朝向真正的無密碼（Password-less）時代邁進。

最大的改變！身分保管責任分散在裝置端，伺服器不集中保存密碼

綜觀這幾年來，資料外洩事件頻傳，當中已經包含大量的帳號、密碼，而針對帳號密碼的網路釣魚攻擊，威脅也越演越烈。

例如，去年12月趨勢科技發布的2019資安預測報告中，指出網路釣魚的威脅態勢逐年攀升，根據他們在2018年攔截到相關網址數量，已經達到2億1千萬個，比前一年度成長3倍，並警告自動化的帳密填充攻擊（Credential Stuffing）的威脅，也將有大規模應用案例。

對於如何杜絕帳密外洩與盜用的風險，還有使用者密碼記憶不易的問題，FIDO標準的作法，已成為當今公認的一個可行解決辦法。

只是，為何FIDO能提升網路身分識別的安全與便利？

從FIDO標準的認證架構設計來看，我們將可以更清楚來理解其安全性。簡單來說，FIDO標準最重要的關鍵，就是身分驗證是在裝置端進行，搭配非對稱公鑰私鑰架構，來與線上身分識別相結合，不僅如此，FIDO還能涵蓋生物辨識技術，以及硬體安全模組的搭配，這也是能進一步強化便利與安全的主要原因。

無獨有偶，FIDO聯盟執行董事Brett McDowell先前在臺演說時曾提到，FIDO將不再有「分享祕密」（Share Secret）的問題。他並指出，像是之前曾經流行的簡訊OTP的應用，其實仍然是在分享祕密，仍會受到網路釣魚的威脅，使用者也不喜歡這樣的繁瑣過程，因此他們正推動新一代網路身分識別，來解決這樣的問題。

這裡所謂的「不再分享祕密」，簡單來說，就是祕密應該只有一方能夠知道。在傳統密碼的驗證架構中，是指自己與伺服器，雙方都知道帳號與密碼以驗證，而FIDO則是採用公開金鑰基礎架構，FIDO認證伺服器端（FIDO Authentication Server）只保存相對應的公鑰，不存在任何秘密，而私鑰只保存在裝置端。

因此，在這樣的架構下，風險將分散在裝置端，而不是集中在伺服器端。對此，神盾資深經理吳添聰也進一步解釋，過去企業網站一旦被攻破，可能就造成幾百萬以上的帳號密碼外洩，現在FIDO的認證伺服器不保管任何的秘密，也就杜絕了此一威脅發生的可能性，即便伺服器被攻破，也只是不能登入，但身分不會被竊取。

若是駭客要針對用戶裝置一個個進行入侵，也會變得相當麻煩，而且，對於金鑰儲存的安全性，在FIDO規範下，也將有不同層級的防護規範。

仰賴兩大關鍵技術的成熟──生物辨識與安全模組發展是重要環節

在安全性方面， FIDO的發展更是與生物辨識、硬體安全息息相關，例如生物辨識的準確性，以及儲存的金鑰是否受到安全的保護。

因此，FIDO聯盟會員的組成也反映了這股趨勢，不只是要應用的雲端服務商需支援FIDO，也包含了從晶片、設備與生物特徵解決方案業者，這其實需要相關生態的完整配合，才能達到更高安全的目標。

一般而言，談到生物辨識系統的準確性，有兩個關鍵的參數值得注意，一個是錯誤接受率（False Acceptance Rate，FAR），這是指非法使用者異常通過身分辨識的比率，也就是應拒絕卻未拒絕，另一個是錯誤拒絕率（False Rejected Rate，FRR），是指合法使用者無法正常通過身分辨識的比率，也就是應接受卻未接受。

對此，神盾吳添聰指出，FIDO現在也有生物特徵元件認證（Biometric Component Certification），正處於發展階段。基本上，以目前業界的基本標準而言，FAR要在5萬分之一，也就是每5萬次才會出現一次誤判，而更高的要求將是要控制到10萬分之一以下，至於FRR則是要百分之3以內，甚至是百分之一。此外，活體辨識也是現行發展的焦點，這也是隨著軟硬體技術，在多年來的不斷進步而實現。

另一方面，還要看的是生物特徵如何儲存與保護，這需要搭配安全的硬體設計，才能幫助FIDO進一步增強加密金鑰的存取保護。

因此，FIDO標準對於FIDO用戶端驗證器，也制訂了4個安全層級標準，像是Level 1、Level 2、Level 3與Level 3+。簡單來說，數字越大代表安全性越高，最基本可以純軟體形式提供，若要達到更安全的層級，將可搭配TEE、TPM、SE等硬體安全模組，做到私鑰的安全存取保護。

這也讓服務提供商視安全層級的不同，而提供相應的保護，譬如說，第三方支付需要TEE的配合，若是更高一級，還需要搭配SE，以保護終端上的各種惡意威脅。

現階段包含3種標準：UAF、U2F與FIDO2

在瞭解了FIDO網路身分認證的安全性之後，實際應用現況就是企業與用戶關注的焦點。

隨著網路身分驗證的不斷演進，像是簡訊OTP、兩步驟驗證，以及雙因素認證等，都已日漸普及，現階段業界積極發展的是強式多因素驗證，以及無密碼驗證。

以FIDO聯盟制訂的技術規範而言，目前的認證協議有三種，包含2014年公布的FIDO 1.0標準：通用認證框架（Universal Authentication Framework，UAF），以及通用第二因素框架（Universal Second Framework，U2F），另一個是2018年新公布的FIDO2，它並被視為將加速應用的一大關鍵，原因在於已經被W3C與ITU等國際組織標準接納。

這些FIDO規範到底有何差異？據了解，FIDO聯盟在推動無密碼的過程中，有兩條路線平行發展，第一個是要把密碼拿掉，只是密碼並不會一下子就消失，第二個就是強化密碼安全。相對應來看，UAF是免密碼輸入的認證協定，U2F則是用於雙因素認證，以強化身分認證安全性。

這幾年來，國際間已經有大型雲端業者及金融業，提供支援UAF與U2F驗證方式的服務。

例如，在金融業有美國銀行、在線上金流有Paypal、而在電信業，則是NTT Docomo，皆已為其行動服務提供支援UAF的身分驗證。基本上，生物識別的方式可包括臉部、聲音、虹膜與指紋辨識等，將隨服務商的提供、行動裝置內建的應用，而有不同。

另一方面，一些雲端服務大廠提供了多元的身分驗證，並在兩步驟驗證中，已經增加U2F驗證協定的支援，像是Dropbox、Facebook、GitHub、Google、Salesforce等。也就是說，上述這些服務，已經能夠支援使用者以實體安全金鑰（Security Key）的裝置，來登入帳號。

用戶只要啟用這項功能，就可以使用FIDO U2F實體安全金鑰的裝置──目前已有YubiKey等業者提供的產品，可以USB、藍牙或NFC等介面來連接裝置端，讓網路帳號登入更安全。

舉例來說，Google在2014年就開放U2F的支援，使用者登入他們的服務時，只要接上如USB形式的U2F實體安全金鑰，依指示碰觸一下該硬體的按鈕，就可以通過驗證存取服務。但如果是連到假冒的Google網站，就無法通過，這將更能確保用戶密碼，不會被網路釣魚手法取得，而這也是U2F明顯的一大優勢。

甚至，近年Google在企業內部也採用了U2F的硬體安全金鑰，以保護員工免於受到網路釣魚攻擊。根據KerbsonSecurity指出，Google自2017年已有8萬5千名員工採用，以取代傳統密碼輸入與動態密碼。而且，該公司去年還以自家的Titan Security Key對外販售，同樣引起了不小的話題。

越來越多網路服務支援FIDO標準，強式雙因素驗證與無密碼登入將日益普及

從FIDO技術規格來看，目前分為3種，而且都已經有網路服務應用實例。FIDO聯盟執行董事Brett McDowell表示，近年像是美國銀行、Paypal、Docomo的行動服務支援UAF，而Google、Facebook、GitHub支援U2F的二次驗證。而最新的FIDO2標準，也已經有微軟、日本Yahoo與美國政府的Login.gov網站服務開始支援。

免密碼登入新標準WebAuthn定案，網站應用將加速導入FIDO2

儘管已有上述採用案例，但距離廣泛普及還有一段路要走。但隨著FIDO2標準的公布，新世代網路身分識別的發展，將比過去幾年要更快許多。

以我們從各業者對FIDO2的看法而言，新FIDO標準所帶來的最大意義，就是成為網路國際標準制定機構的正式標準規範，包括去年4月W3C聯盟的網路驗證Web Authentication（WebAuthn），以及去年11月新的ITU國際電信聯盟標準x.1277與x.1278。

因為，過去FIDO面對的問題是，儘管許多大廠持續推動，還是有很多使不上力的地方，現在則是各個國際性組織共同協力，影響力更擴大，將有機會帶動整個環境資訊系統的使用。

其中，瀏覽器的支援也可說是至關重要。由於WebAuthn定義了標準化的Web API，讓網路服務能使用FIDO驗證，像是去年4月，三大瀏覽器Google Chrome、微軟Edge與Mozilla Firefox，就已經表明將支援FIDO2身分驗證規格。至於Apple Safari，他們也終於在去年12月的技術預覽版中開始有支援的跡象。

在WebAuthn之外，FIDO2另一重要規格是CTAP（Client-to-Authenticator Protocol），將允許像是手機、FIDO實體安全鑰匙等外部裝置，能搭配WebAuthn使用，以作為桌面應用程式或網路服務的身分驗證器。因此，FIDO2可說是包含了U2F，規範中也提供了與現有U2F部署的兼容性，同時，FIDO2也允許UAF要做的事情，但協議是不同的，本質還是在瀏覽器方面。

綜合來說，FIDO2可以讓所有Web應用能有統一的標準去遵循，簡化開發，另外就是讓FIDO2可以透過瀏覽器與Web應用，讓應用更廣泛延伸。

瀏覽器將支援免密碼登入新標準WebAuthn，網站應用門檻降低

關於FIDO2標準的推出，在去年4月達到新的里程碑，最大關鍵就是成為W3C的網路驗證標準Web Authentication（WebAuthn），而三大瀏覽器Google Chrome、微軟Edge與Mozilla Firefox也立即承諾將支援。因此，使用者將能透過瀏覽器，以指紋、虹膜或人臉登入網站服務，或是搭配CTAP，使用自己的裝置，如USB、手機等包含安全金鑰的載具上，來作為登入時的驗證裝置。圖片來源／FIDO聯盟

微軟帳戶已經支援FIDO2，LINE也宣布將採用FIDO三大認證協議

那麼，目前FIDO2已經有一般大眾的應用了嗎？是的，微軟在這方面的腳步相當積極，他們的專家技術部專案技術副理邱彥彰指出，在去年Windows 10十月更新（1809）時，其中隨附的新版Edge瀏覽器，就正式支援FIDO2。

而且，微軟的雲端服務帳戶，也在去年11月20日正式支援FIDO2，因此，使用者現在登入微軟服務時，就已經可以透過Edge瀏覽器，使用基於FIDO2的實體安全金鑰。

儘管FIDO2標準剛起步，在2018年，只有微軟、日本Yahoo!，以及美國政府部門間共享的認證平臺Login.gov支援，但已經受到無比的重視。

像是即時通訊大廠LINE，在2018年12月也宣布將在2019年，提供基於FIDO的無密碼登入，以克服LINE使用者帳號的種種安全性議題。

目前，他們也分別開發出對應UAF、U2F與FIDO2這三種FIDO協議的驗證伺服器，並通過通用伺服器認證，可用於確保LINE App、網頁登入的安全。

對於FIDO2的發展，LINE臺灣資深資安工程師劉威成也相當看好，過去UAF與網頁的整合不夠，隨著各大瀏覽器的支援，也意謂著環境將要準備好。至於LINE的相關策略是什麼？他們不僅是希望為服務帶來更好的體驗，也將期望提供給其他服務，以及IoT相關、行動支付的安全性。

員工識別證與手機，都可當成登入網站服務的驗證裝置

員工在電腦上登入企業網路服務，可透過卡片整合指紋辨識

未來，企業員工的識別證也可以成為驗證身分的輔助機制。過往常見的安全金鑰裝置，多是小型的USB硬體裝置，不過卡片形式的應用在企業內部更是多見，如門禁卡等。現階段，已經有一些業者打造出相關應用，可提供使用者在操作的電腦上，透過卡片形式搭配指紋辨識模組的裝置，作為FIDO USB安全金鑰並確認本人。

以FIDO認證的產品類型來看，包括FIDO驗證伺服器、FIDO 用戶端，以及驗證器（Authenticator），也是組成架構的三大要素。其中，驗證器的發展近期也朝向多元化，在FIDO USB實體安全金鑰之外，卡片形式這種接近智慧卡、員工識別證的方案，將是企業可以關注的焦點。

例如，歐生全副總經理黃啟峰指出，在FIDO卡片上結合指紋辨識的方案，就是一種企業能夠應用的新形式，這比起現階段仰賴實體金鑰的碰觸一下，將更為安全。神盾公司的吳添聰也提到，他們希望推動離線加在線的應用概念，不只是卡片結合指紋辨識模組，還將把私鑰保存到離線的卡片裡面，並透過內建MCU保護，而不是時常連線的裝置端，再透過NFC感應，也將創造更多不同的應用情境。

另一個關注的趨勢是，是手機也能化身為FIDO認證裝置。在今年一月，美商動信安全即宣布，推出GoTrust ID的解決方案，可間接讓使用者手機，成為U2F、FIDO2認證裝置的應用。該公司執行長李殿基表示，只要先在電腦與行動端，分別安裝他們的應用程式與App，透過藍牙的連接，就能將使用者的手機，模擬成USB安全金鑰的硬體裝置。由於手機是現代使用者幾乎不離身的配備，等於提供了一種便於用戶的使用形式。

除此之外，在2019年初CES期間，有國外媒體報導，筆電大廠宏碁將在支援藍牙功能的電腦與筆電上，預載GoTrust ID應用程式，日前美商動信安全也宣布了這項消息。在這樣的態勢下，意謂著用戶只要在手機下載App就能使用，這對於一般消費者而言，將更容易應用到FIDO的身分驗證。

在電腦上登入各式網路服務，手機也可變成驗證身分的個人鑰匙

人人都有智慧型手機，因此有些業者設法將手機結合FIDO2認證裝置。例如，美商動信安全推出Gotrust ID的方案，不僅讓手機可以解鎖Windows電腦，也將可模擬成FIDO USB安全金鑰，作為登入網站服務的驗證，而宏碁今年新推的筆電，也傳出將預載此一應用，這將讓民眾更容易應用到新世代身分識別。

帶動企業邁向無密碼時代，未來應用還將瞄準IoT

從這股FIDO應用的浪潮來看，確實是有可能逐步協助人們擺脫對於傳統密碼的依賴。我們不僅看到大型雲端業者與金融業在採行，就連政府組織也參與其中。

而對於使用者而言，近年來，在手機上使用生物辨識可能已經變得習慣，但用戶或許未能感受到FIDO的存在，可是，有了FIDO，的確能改變身分識別安全、交易安全的問題，就像過去的網路銀行，在基本的SSL、HTTPS之外，後面還有其他確保交易安全的機制，但使用者只知道連到一個網站，而不需處理技術細節，FIDO的概念也是如此。

而且，FIDO其實也還在持續發展，FIDO2也將擴展與國際支付產業標準組織EMVCo合作，目的是為了FIDO在行動支付的應用，接著，未來還將鎖定IOT的議題，針對這類沒有鍵盤、滑鼠與螢幕的裝置提供保護，無密碼的身分識別就很重要。

而且，身分認證在實務上，還會結合ID Federation、單一登入整合（SSO）等，這並不是在FIDO範圍之中，未來是否還有其他發展也很值得關注。

對於FIDO應用是否能在3到5年爆發，該如何落實，從各業者的反應來看，也有幾個挑戰需要面對，例如設備的支援程度，驗證器是否能夠普及，以及FIDO認證伺服器的開發或導入，對於中小企業的門檻，而網站服務也必須要有復原（Recover）的機制，來因應保存私鑰裝置遺失與轉移的問題。還有像是各國各行業的發展現況，如何促進現有的PKI體系與FIDO結合等。

無論如何，帳密外洩的資安事件不斷發生，問題越來越嚴重，如何因應就是資安防護上的焦點，而網路身分識別的大變革更是備受關注。鑑於FIDO有望在2019年快速發展，對於臺灣產業、企業來說，都是可大展身手的機會，特別是雲端服務業者、金融業、電信業、電商與政府，對於這樣的新趨勢，都應該會有更濃厚的興趣。

什麼是FIDO？認識新世代網路身分識別

基本上，FIDO標準將為各種網站和行動服務，提供了一套開放的標準協議，透過安全模組、生物辨識等技術的搭配，要讓使用者無需再用傳統的輸入密碼方式來進行身分辨識。。

這項標準由產業成員合力推動而成，目的是要提供一個更簡便、安全的網路身分驗證方式，以解決過去密碼造成的各式問題。

傳統密碼驗證與FIDO驗證的流程的不同之處

以網路服務的傳統密碼認證模式而言，用戶輸入的帳號與密碼，在驗證身份的伺服器這一端，必須要經過身份識別（Identification）與身份驗證（Verification）的程序，確認後允許使用者登入。

而在FIDO認證模式中，最大特色則是本地裝置端的身分驗證，以及線上身分識別相結合，並採公私鑰架構來提供安全的保障。也就是說，身份的識別與驗證，是分開在裝置與伺服器端進行。

再從FIDO認證的產品類型來看，則是包含三大要素，分別是FIDO驗證伺服器、FIDO 用戶端，以及驗證器。

具體而言，FIDO用戶端搭配驗證器（Authenticator），可提供身份驗證，FIDO認證伺服器端則負責身份識別，並且，私鑰保存在認證器的內部，將受到不同層級的保護，公鑰則存放在FIDO認證伺服器端。

這也意謂著，在FIDO驗證模式之下，少了傳統密碼存在被攔截與破解的風險，由於伺服器端也不再集中存放密碼，也能夠避免過去整批帳密被竊取的風險。

目前FIDO包含3大認證協議

簡單來說，FIDO包含了UAF、U2F與FIDO2這三種技術規格。

● UAF：是免密碼輸入的認證協定，包括使用生物識別技術。

● U2F：是用於雙因素認證，以強化身分認證安全性。

● FIDO2：主要包含W3C全新的網路驗證標準WebAuthn，以及FIDO的用戶端至驗證器協定CTAP 規格，可說是包含UAF與U2F的部分特性，但又不盡相同，本質上還是瀏覽器的應用。

基本上，以UAF與U2F而言，是FIDO聯盟在2014年所公布，一般稱之為FIDO 1.0標準，推廣已經4年之久；而FIDO2則是在2018年公布，才推出不到一年，便受到極大關注，主要原因就是成為全球國際性標準，開放WebAuthn登入機制，讓網站應用門檻大幅降低。

 相關報導   新型網路身分識別崛起，提升金融與政府服務安全

 相關報導   智慧型手機可化身FIDO安全金鑰裝置，PC相關應用蓄勢待發

 相關報導   微軟帳戶已經支援FIDO2與Windows Hello登入，未來甚至連使用者註冊都能免密碼

 相關報導   無密碼登入已成新趨勢，未來將更常出現在生活周遭