安全金鑰開發商Yubico預告,即將發布帶有生物辨識功能的安全金鑰YubiKey Bio,而這將是Yubico第一個整合生物辨識功能的產品,目前支援FIDO的YubiKey Bio正在私人預覽階段。官方提到,他們一直在考慮要將生物辨識技術,應用在安全金鑰中,但是即便想法很簡單,但是直到硬體和生態系能夠支援,這項整合才可能發生。

YubiKey Bio搭載指紋感測器,在使用時會要求用戶註冊指紋,以便之後進行身份辨識,部分FIDO2使用情境,用戶可以配置YubiKey Bio,同時要求指紋和PIN碼進行雙重驗證,YubiKey Bio目前可以在任何支援FIDO U2F、FIDO2或WebAuthn的服務或是平臺上使用。如同YubiKey 5系列一樣,當該服務支援FIDO2,且使用安全金鑰常駐憑證,YubiKey Bio就可以實現無密碼體驗。

Yubico提到,使用生物辨識和指紋感測器,進行用戶身份驗證的概念,已經存在數十年,而最終在智慧型手機上,達到普遍可用的程度,驅使用戶接受的理由,並非僅是安全性而是方便性。要在安全金鑰整合生物辨識的挑戰之一,便是要能夠提供跨平臺的支援,使用戶獲得一致且良好的使用者體驗,就像使用筆電、平板電腦或是智慧型手機等裝置,內建的生物辨識感測器一樣。

由於現在FIDO2已經支援廣泛的生物辨識類型,包括指紋以及臉部辨識,因此已經能夠在不同的終端用戶裝置上,提供無縫的身份驗證體驗。官方提到,在智慧型手機上,指紋認證是系統中的一部分,因此結合螢幕指示以及明確的使用者介面,用戶在行動裝置上設定和管理指紋鎖定,成為一件簡單且直覺的事,但YubiKey必須能夠跨平臺運作,因此面對的情況完全不同,再加上指紋感測器會因為皮膚水分和溫度不同,而影響掃描的效果。

為了減少指紋感測器可用性問題帶來的影響,PIN碼成為YubiKey Bio指紋辨識的替代身份驗證方法,YubiKey Bio會預設使用生物辨識,但是當出現問題,便允許用戶輸入PIN碼,類似iPhone的指紋解鎖體驗,官方強調,對於用戶需要每天進行系統認證的情境,YubiKey Bio能夠提供方便性,讓驗證變得更方便簡單,但是對於非經常性的身份驗證,YubiKey Bio則無法增加太多的便利性。

雖然指紋辨識已經發展很長一段時間,但是仍存在安全風險,攻擊者可能竊取用戶的指紋,以騙過指紋辨識系統。除此之外,生物辨識系統的安全威脅,還包括裝置處理生物特徵的方式,為了避免生物辨識元件的漏洞,可能破壞核心安全性,因此YubiKey將生物辨識子系統,和金鑰核心功能切割開來,確保金鑰核心安全。

YubiKey會在專用的安全元件中處理生物特徵,並且加密安全元件與YubiKey軟體間的通訊,避免竊聽與重送攻擊。Yubico強調,目前所有的指紋感測器,都容易受到高品質的指紋照片欺騙,不過因為絕大多數潛在的攻擊者,都無法物理上靠近受害者,也就無法實際取用裝置,再加上他們特別挑選的YubiKey Bio元件,大大增加攻擊者要騙過指紋感測器的難度。


Advertisement

更多 iThome相關內容