現行FIDO的目標,就是要為使用者提供「無密碼」的體驗,而微軟在2018年,也開始宣告密碼時代即將終結,強調Password less以及更安全的多因素驗證。

圖片來源: 

擷取自微軟官方網站

網路服務帳密被盜事件頻傳,因此,許多大型的網站紛紛提供兩步驟驗證,為用戶帳號提供多一層保護,而目前最常見的作法,是用戶在手機上接收驗證碼再輸入電腦,也就是所謂的簡訊動態密碼,然而,近年這種機制也被認為不夠安全,還是會遭到網路釣魚與中間人攻擊的風險。

為此,一些大型的網站已經改變形式,並且現在還提供了安全金鑰的選項,而這麼做,就是應用FIDO U2F或FIDO2的實體安全金鑰來登入,使用者可以將一個USB形式的實體裝置,接在電腦上,或是透過NFC的連線來近距離感應。

這也意謂著,需要搭配物理的實體安全金鑰,才能順利登入網站系統,將能降低網路帳戶被入侵風險。

不過,這項新的安全驗證機制,大家仍然感到陌生,主要原因是安全金鑰還不夠普及,而且,許多系統或用戶可能連兩步驟驗證都還沒啟用,更遑論為了帳戶安全,還要教育使用者隨身攜帶一個幫助驗證的硬體裝置。

不過,FIDO應用的發展態勢將在2019年有應用加速的跡象,不論是FIDO標準或無密碼登入的發展,都會比過去五年發展要快速,新的身分驗證機制,將越來越常出現在生活周遭。

畢竟,從FIDO認證的產品類型來看,包含了三大要素,分別是FIDO驗證伺服器、FIDO用戶端,以及驗證器。而現在已有越來越多網站服務,建置了FIDO驗證伺服器,而驗證器的普及,也是FIDO要快速、大範圍推廣的重點,隨著更多安全金鑰載具的形式出現,用戶要接受這樣的應用也就更為容易。

基本上,現在一般用戶在登入網站服務時,要使用免輸入密碼的FIDO應用,將變得更容易一些。例如,現在有業者提出以手機替代USB安全金鑰裝置的方案,簡化硬體攜帶不便的問題,因為手機現在已經成為人人都會隨身攜帶的裝置,若能整合其中,就能省去不少麻煩。此外,去年公布的FIDO2標準,將促使新世代身分識別在Web應用更加廣泛,而卡片形式安全金鑰裝置,也是最新發展潮流,可望受到更多企業關注。畢竟,員工最容易隨身攜帶的裝置,就是手機與員工識別證。

無論如何,在各式FIDO安全金鑰裝置的發展之下,都將讓使用者在登入網站時,越來越少需要用到密碼,已有不少業者指出,FIDO 2將逐漸成為應對密碼相關安全風險的一大關鍵,不僅是減少了用戶記憶密碼的問題,應用在企業內部,也可避免針對員工帳密的網路釣魚威脅。

採用FIDO登入網站服務有何好處?

在FIDO認證機制下,可以使用生物辨識技術,以及更強的雙因素認證,來達到網路身分識別。到底,登入網路服務不使用密碼,有那些好處呢?

答:一、不用再記憶密碼

隨著越來越多的雲端應用,使用者根本難以記住眾多密碼,一般人應該都有這樣的經驗。例如,要記住一堆不同的密碼,密碼每三個月要改一次,還有密碼長度與複雜性的要求。

答:二、無需煩惱密碼設定不當的問題

由於記憶密碼的麻煩,這也使得用戶最後的作法,不是設定簡單的密碼,就是把密碼抄下來貼在電腦上,或是使用同一組帳密在不同服務上。但這些作法有很大資安疑慮,包括像是密碼被暴力破解與猜出,周遭的人都能看到紙條內容,以及帳密外洩的資安事件,導致一組密碼外洩,其他服務也將被他人能直接入侵。

答:三、可降低密碼外洩與網路釣魚

資料外洩導致大量用戶個資、帳密外流,而針對用戶帳密的網路釣魚,更是近年最大宗的攻擊手法,例如偽冒成正常的網站,讓用戶誤認而輸入帳號與密碼,其他還有像是電腦或手機遭植入惡意程式,導致帳密資訊被側錄等。由於FIDO認證機制不再讓伺服器保存密碼,用戶登入也無須輸入密碼,自然也就避免了這類攻擊的發生。

 相關報導   無密碼新時代將至!解決網路密碼遭竊與盜用問題

 相關報導   新型網路身分識別崛起,提升金融與政府服務安全

 相關報導   智慧型手機可化身FIDO安全金鑰裝置,PC相關應用蓄勢待發

 相關報導   微軟帳戶已經支援FIDO2與Windows Hello登入,未來甚至連使用者註冊都能免密碼

 


Advertisement

更多 iThome相關內容