文/羅正漢 | 2020-01-09發表

【內政部已導入FIDO標準推行動身分識別】行政院內政部在2019年已建置了FIDO伺服器,打造「TAIWAN FidO臺灣行動身分識別」服務,並提供T-FidO行動App,讓個人裝置與生物識別成為驗證關鍵,可望帶動FIDO應用,預計2020年將有更多政府服務介接。(圖片來源/內政部資訊中心)

不論是數位世界或實體環境,能否識別身分、取得信任是落實安全重要的一環,包括在各種網站服務、應用系統,或是日常生活等各個層面,都有身分安全相關議題,需要被重視,例如,趁機取得使用者帳密的網路釣魚,多年不曾停歇,近年更是發生大量帳密外洩事件,以及弱密碼,以及預設密碼等各式帳密安全問題,而在即將到來的2020年,還有一個新興的身分安全威脅趨勢值得注意,那就是以AI技術所進行的深度偽造與詐騙,稱為Deepfake

此類詐騙技術的發展已日趨成熟,合成與模擬影像畫面與聲音的門檻將降低,不只是對輿論的威脅,也讓新的身分冒用攻擊可能性大增。事實上,冒用身分的網路攻擊已橫行多年,特別是商業電子郵件詐騙(BEC)的手法,透過冒用同事、合作對象的電子郵件就能達到目的,已為企業帶來極大損失,如今在AI技術的進步之下,攻擊管道也將可能擴及視訊與電話,像是透過Deepfakes偽造老闆的臉與聲音來下指令,將可能更讓人容易上當受騙。

值得注意的是,這類攻擊已經出現,在2019年下半年已有一家英國能源公司的執行長,就因為誤以為接到德國總部執行長的電話,在不疑有他的情況下,將款項匯出給詐騙者。因此,這類身分冒用詐騙,將是2020年不容忽視的最新威脅趨勢,如何防範將成企業新挑戰。

FIDO應用已獲臺灣政府導入,IoT身分相關安全要求成形

對於強化傳統密碼安全性的發展,從線上身分識別安全的方面來看,由於用戶密碼遭竊的問題層出不窮,我們在上一年度的相關預測中,已經提到FIDO線上身分識別將在2019年興起,並結合生物辨識與安全模組的發展趨勢。

這一年來,隨著W3C宣布WebAuthn成為正式標準,我們確實看到更多主流的瀏覽器業者及作業系統大廠,陸續採取行動,例如Edge、Chrome、Firefox與Safari都已經支援FIDO2標準,而Android、Windows 10內建的強認證機制也都通過FIDO2的認證,這樣的環境將可方便更多程式採其應用,讓使用者透過手機內建的生物辨識,或是FIDO標準的實體安全金鑰(Security Key),來登入支援FIDO 2標準的網站或原生App,降低面對釣魚網站的風險。

值得一提的是,最近臺灣政府也開始應用FIDO。在2019年10月,內政部宣布推出「TAIWAN FidO臺灣行動身分識別」服務,導入FIDO標準與建置FIDO伺服器,並結合內政部自然人憑證,目的是運用於政府或公營事業資訊系統的身分識別。例如,民眾只要完成自然人憑證註冊,在手機上安裝「T-FidO」App,並完成憑證和行動裝置的連結,之後用手機登入政府機關網站時,就可以透過手機上的指紋或臉部辨識,來通過身分驗證。目前,財政部已將地價稅申報應用率先介接這項服務,到了2020年,預期將有更多的服務介接,像是綜合所得稅繳納等。

對於FIDO技術應用在臺的未來發展,我們詢問了身兼神盾公司副總與FIDO Alliance董事代表的張心玲,她指出,目前國內已有政府單位及各主流銀行導入,預期會有更多的服務提供,在各平臺內建或外接驗證器的支援上,也將更為全面。此外,FIDO近期新成立3個工作小組,包含政府、IoT應用,以及身分綁定與確認,其後續發展也將是2020年可以關注的面向。

關於帳號密碼安全問題,近年也同樣發生在物聯網(IoT)裝置,像是殭屍病毒與勒索軟體等,攻擊方式有暴力破解裝置薄弱密碼或預設密碼,此手法之所以得逞,原因就是產品設計的身分驗證保護不足。對於相關安全問題的改善,我們預期2020年會看到較明顯的態勢。

舉例來說,美國加州在2018年通過該國第一項與物聯網的資訊隱私法案,在2020年1月正式生效,當中就有禁止使用預設密碼等安全要求;臺灣方面,近年推動的物聯網資安產業標準,針對影像監控系統系列網路攝影機這一項,已發布成為國家標準(CNS 16120),對於身分鑑別與授權機制安全,已經提出相關安全要求規範。換句話說,日後IoT產品業者要提升相關資安功能,將可以有更具體的依據。

例如,在通行碼鑑別安全方面,每臺設備預設密碼都須相異,或首次使用須強制更改,而密碼強度也有要求,並應限制輸入頻率與次數;而鑑別身分機制需採用多因子,支援雙向認證,具備防止重送攻擊的機制,上傳憑證的功能,以及還原出廠設定憑證金鑰需改變;此外,還有權限管控面的相關要求。

人臉辨識可能整合至更多系統環境,替代密碼並加強存取控管

關於人臉辨識的身分識別應用,已是近年熱門的議題,隨著近一年來AI人臉辨識引擎的高速發展,在2019年中旬,我們看到人臉辨識在門禁系統、考勤系統在臺發展,最近我們則是觀察到下一步的趨勢,那就是:人臉辨識將開始整合到更多系統環境,強化安全存取。

舉例來說,像是2019年上半已有醫院應用人臉辨識,讓醫護資料的調閱能與電子白板結合,並以人臉辨識確認使用者的身分,近期我們則是看到人臉辨識引擎與POS系統結合,透過人臉辨識解鎖操作權限,這些應用都是取代傳統手動輸入密碼,也減少密碼外洩的疑慮。甚至,新興的聯網設備應用,像是醫院用的智慧藥櫃,在管制用藥的安全管理上,也能搭配人臉辨識,取代過去使用鑰匙及密碼配對才能開啟的作法。

無論如何,身分識別的安全已實現在相當多的層面,其他還包括像是金鑰安全、憑證安全的風險,前幾年持續提及的強式雙因子認證,以及實體安全金鑰,還有生物辨識、硬體安全與量子加密通訊等層面,以及各種因應方式與相關發展,也都是2020年可以持續關注的面向。

 相關報導  2020年10大資安趨勢預測

iThome Security

熱門新聞

Advertisement