文/羅正漢 | 2019-02-07發表

微軟網站服務開始支援FIDO2,簡化登入流程並增加安全性。(圖左為登入中的英文介面,圖右為剛開始登入的中文介面)

關於FIDO2的應用,在現行的網站服務中,包括微軟、日本Yahoo與美國政府Login.gov的網站服務,都已經在2018年開始提供支援。隨著FIDO2成為國際標準,無密碼的應用也可望加速,在2019年將有更多企業關注此一應用擴展。此外,卡片式的安全金鑰設計,也成為一大關注焦點。

從目前的微軟網站服務而言,就是FIDO2的一大應用實例,特別的是,在他們提供的登入場景中,已經提供讓使用者登入網站服務,可以完全不用輸入帳號與密碼。

這主要是因為,去年11月微軟帳戶已經支援FIDO2安全金鑰裝置的登入,同時,微軟自家的Edge瀏覽器,在去年Windows十月更新(1809)時,也已經率先支援FIDO2標準。

在實際應用時,我們在微軟網站服務登入頁面,可以看到輸入帳號的下方有一個更多登入選項,接下來就可以使用Windows Hello或安全金鑰直接登入。

這意謂著,使用者可以透過Windows Hello以人臉或指紋登入微軟帳戶,如果用戶電腦硬體不支援,也可以選用FIDO2安全金鑰的方式來驗登入服務,兩者都不用輸入密碼。

舉例來說,我們以一個FIDO2安全金鑰登入,它是歐生全提供的一個卡片樣式外觀裝置,且具指紋辨識模組。我們只要將它插入到電腦上的USB連接埠,之後在卡片上按壓指紋,即可登入微軟服務,帳戶密碼輸入都不需要。

值得注意的是,卡片形式的應用過去已經不少,像是門禁、智慧卡等,現在登入網站服務的FIDO安全金鑰,也可以此型態設計,且不少業者都認為是企業內部應用的可行方式。主要原因在於,企業人員配戴員工識別證已經很常見,也是容易隨身攜帶的一項物品。

儘管近年的FIDO安全金鑰,仍以小型硬體裝置居多,但卡片形式也將成為企業未來考量。

對於FIDO安全金鑰裝置,是否結合要生物辨識機制,現階段作法是都可行。一般而言,不具備生物識別的FIDO安全金鑰裝置,企業IT相對是容易管理派發,但如果能整合生物識別又會更安全。至於安全金鑰是要透過USB、藍牙或NFC來連接,則是依照裝置支援與情境來考量。

在微軟帳戶註冊與移除FIDO安全金鑰的方法

舉例來說,在微軟帳戶的其他安全性選項中,使用者可以管理登入選項,當中就能設定安全金鑰裝置,不論是透過USB或NFC,只要依照指示在該裝置上按一下確認,接著在系統上取名,即完成裝置註冊,未來也可從管理介面移除裝置。

在FIDO2之外,Windows Hello在微軟生態體系中也很重要

前面提到,現階段在Edge瀏覽器上登入微軟帳戶的例子,不只可以使用FIDO2,Windows Hello也可以做到,由於後者同樣帶來了無密碼的體驗,也成另一關注焦點。

基本上,Windows Hello不只是可解除電腦本身的裝置鎖定,對於相容應用程式、網站的登入,也能透過生物辨識等不用密碼方式登入,甚至遠端桌面連線,現在也能應用Windows Hello。舉例來說,對於Azure Active Directory、Active Directory的用戶而言,在已加入網域的Windows 10裝置上可啟用 Windows Hello企業版。因此,用戶執行遠端桌面連線時,輸入想要連線的電腦名稱,就能使用生物識別技術來驗證RDP的存取,不論遠端桌面連線環境是Windows Server 2019、Windows Server 2016,或是Windows Server 2012 R2。

對於這樣的應用,微軟研發開發處資深產品規畫經理張逸昕指出,Windows Hello其實也就是一種FIDO的應用,只要電腦硬體能支援Windows Hello,本身也就是一個FIDO的裝置。

事實上,過去微軟已經不斷的推動Windows Hello,在2012年更是推出Surface筆電產品,即內建支援此應用的硬體,只是,其他筆電品牌業者多半只有高階機種提供搭配,要普及還是不容易。因此,現在微軟也朝向更整合的形式推動,讓企業導入時,就是從裝置、作業系統、雲端服務都一次到位。

FIDO標準安全金鑰的應用較不同,將可使用在不同裝置上驗證,可擴展的面向較廣泛,更是帶起無密碼應用的另一個機會。它並不像Windows Hello鎖定企業具生產力的機器設備,生物辨識資料都保存在本機,不能裝在不同裝置。不過,微軟認為,身分驗證的方式有很多種,沒有好或壞的差別,因為可適用於不一樣的情境。

網站服務登入無密碼的未來,其實已經正在發生

綜觀微軟在登入網站服務無密碼的推動上,在Windows Hello、FIDO登入之外,還一個方式是透過Microsoft Authenticator App,也是用碰觸手機螢幕一下來確認身分。這項機制在近期也有增強,不像過去只要觸碰一下,可能有誤觸的問題產生,現在,用戶必須在手機畫面中,選出電腦網頁看到的數字,而且,不像以往未解鎖就能看到App推撥通知訊息,現在也會利用手機原生的人臉、指紋識別模組,提供額外的保護。

至於未來,還有一件特別值得關注的事,微軟在今年1月3日表示,在最新所有Windows 10技術預覽版中,將讓微軟帳戶連註冊都不用密碼。據了解,一開始使用者註冊微軟帳戶,用戶在網頁上需提供手機號碼,之後將收到一組代碼並輸入至網頁,之後就可透過Windows Hello來設定PIN、指紋或臉部方式來登入。

這將是邁向無密碼的一大步,畢竟無密碼登入也可以分成兩個層面,一個是減少密碼的使用,不需使用密碼來登入,另一個是帳號真的完全沒有密碼。儘管大家都認為密碼在未來十年不會瞬間消失,但普遍認為會一直想辦法把密碼的使用頻率降低。

 相關報導   無密碼新時代將至!解決網路密碼遭竊與盜用問題

 相關報導   新型網路身分識別崛起,提升金融與政府服務安全

 相關報導   智慧型手機可化身FIDO安全金鑰裝置,PC相關應用蓄勢待發

 相關報導   無密碼登入已成新趨勢,未來將更常出現在生活周遭

iThome Security

熱門新聞

Advertisement