文/羅正漢 | 2019-02-07發表

FIDO安全金鑰不只是USB樣式的裝置,手機也能化身媒介

以往要使用安全金鑰(Security Key)登入網站服務,也就是搭配FIDO雙因素認證的載具,相關裝置並不多見,市面上知名的產品,有Yubico的YubiKey系列產品,與Google的Titan Key等,最近我們看到美商動信安全的Gotrust ID解決方案,可將手機模擬成USB安全金鑰裝置來達到應用。

在此方案下,為了讓手機能化身為登入時的驗證裝置,用戶需先在電腦上安裝GoTrust ID應用程式,同時,在手機上也要安裝App,並以藍牙方式連接。

實際應用時,用戶將能以手機作為登入Windows裝置的憑藉,而不用輸入密碼或PIN碼,因為GoTrust ID也是一款經過Windows Hello認證的應用軟體;若要登入支援FIDO安全金鑰的網路服務,像是Google、Facebook、GitHub、Dropbox,Salesforce等,該公司也預計在今年2月、3月加入新功能,讓手機也可當作FIDO安全金鑰使用。

舉例來說,像是Google在兩步驟驗證中,提供了多元的驗證方式,包括簡訊或來電、安全金鑰與Google提示。

這裡的安全金鑰,指的就是FIDO U2F安全金鑰,只要在設定啟用後,使用者以帳密登入服務,接著執行兩步驟驗證時,畫面上就會出現將安全金鑰插入電腦USB埠的提示。

在Gotrust ID的解決方案中,由於該軟體應用可透過藍牙連線,將手機模擬為USB安全金鑰插入,同時,該App上也可提供指紋辨識的認證方式,讓使用者身分能獲得進一步的確認,並登入到各式支援的服務。

若與簡訊OTP方式相比,以往使用者需等待驗證碼傳到手機,同時要記住代碼再輸入,而上述將手機當安全金鑰登入的方式,只要手機在電腦1公尺內,用戶在App上按壓指紋即可登入。

相較之下,不只是比簡訊OTP方便、安全,也比以往的實體金鑰形式便利,不用多額外攜帶一個硬體,讓手機也能做到跟USB安全金鑰相同的效果。

而且,目前用戶要購買這些FIDO實體裝置的管道較少,App下載付費購買則相對容易。以該手機App為例,付費版本將能連結多個網路帳戶,以及能使用生物辨識功能,一年是18.99美元;而標準版雖然只能連結一個網路帳戶,不過免費就能使用。這也意謂著消費者取得方式將變得容易,更有機會去應用到FIDO安全金鑰載具去登入服務。

另一方面,為因應簡訊OTP密碼既麻煩又有被攔截的問題,在Google兩步驟驗證中,也提供了名為Google提示的機制,當用戶在手機上收到嘗試登入的通知,就可以點擊「是」來登入,比之前的Google Authenticator App更簡化。不過,以FIDO實體安全金鑰作為二次驗證,可應用的範圍更廣,不只是Google服務,只要網站支援該標準就能適用。

隨著FIDO2標準在2018年公布,由於成為W3C網路標準,透過WebAuthn讓所有瀏覽器都可支援,比起U2F應用會更容易。還有像是裝置端作業系統層的支援,將能提供標準化的作法,可簡化硬體驗證器商開發驅動程式的工作,更容易將功能提供給使用者。此外,新的FIDO驗證器型態發展,也有機會帶動此一應用,像是上述將手機模擬成USB安全金鑰的方案,成為一種可能更容易被消費者接受的使用方式。

透過軟體方式將手機模擬成USB安全金鑰

在GoTrust ID的應用上,用戶需在電腦與手機上分別安裝應用程式,並以藍牙配對。功能上,不僅是Windows電腦解鎖,預計2月推出的新版還將能作為FIDO U2F認證裝置的應用,成為USB安全金鑰的另一選擇。

電腦業者加值提供FIDO應用案例增多,後勢可期

還有一個關注的趨勢,美商動信安全也宣布,在電腦大廠宏碁新推出的電腦與筆電上,只要具有藍牙功能,將預載上述GoTrust ID的應用,今年1月CES展會期間,也已經有國外媒體報導此事。該公司執行長李殿基更是指出,除了宏碁在2019新推出的產品,去年就已經有兩款華碩筆電預載該解決方案,並透露還有兩家更大的電腦廠商正洽談中。

對於消費者而言,這將簡化GoTrust ID應用時的安裝步驟。因為該應用需要在電腦與手機都安裝應用程式,如電腦設備在出廠時即預載該應用程式,未來消費者就只要在手機下載App即可。

這也顯示出,電腦大廠也是FIDO推廣上的一大助力。事實上,在2017年聯想的一些筆電產品中,也曾經提供支援FIDO的應用,該公司透過Intel提供的IOC(Intel Online Connect)解決方案,做出韌體版支援FIDO的應用環境,因此,用戶在裝置管理員中可看到U2F裝置已經內建。而去年,Dell也推出具指紋辨識的滑鼠MS819,可支援Windows Hello,並符合FIDO1規範。

儘管這些推廣FIDO的策略不盡相同,但態勢似乎越來越明顯,未來在電腦大廠、作業系統廠商的持續協力推動之下,消費者要應用這樣的功能,應該都會變得越來越容易。

 相關報導   無密碼新時代將至!解決網路密碼遭竊與盜用問題

 相關報導   新型網路身分識別崛起,提升金融與政府服務安全

 相關報導   無密碼登入已成新趨勢,未來將更常出現在生活周遭

 相關報導   微軟帳戶已經支援FIDO2與Windows Hello登入,未來甚至連使用者註冊都能免密碼

iThome Security

熱門新聞

Advertisement