【透過實體安全金鑰登入雲端服務,強化帳戶安全性】近年來,一些雲端服務大廠已經提升帳號登入安全性,例如,微軟帳號已支援FIDO2登入,使用者利用FIDO2的實體安全金鑰,就可以通過身分驗證(圖右),後續,微軟也在Azure雲端服務提供這樣的安全登入方式。今年11月,Line即時通訊服務也提供FIDO登入支援選項,用戶可開啟生物辨識登入,強化帳號安全。(圖左)

網路服務興起後的線上登入認證機制發展,一直在演進,包括以雜湊保護密碼、OTP動態密碼與公開金鑰基礎架構,這幾年更是不斷強調兩步驟驗證,以及強式雙因素認證,現在,無密碼登入與Passwordless的潮流,以及FIDO聯盟推動的線上身分識別,更是持續關注焦點,而在雲端服務龍頭的帶動,以及產品業者的跟進之下,FIDO應用在2020年正大幅擴展。

至於未來FIDO的發展潮流,我們認為,包括IoT的領域,以及EMVCo方面的合作發展,都是值得關注的面向。

事實上,我們在2019年1月的FIDO應用封面故事報導中,我們曾請業者實際示範,例如,可使用歐生全(Authentrend)的實體安全金鑰,安全登入微軟帳號,或是使用美商動信Gotrust ID的軟體解決方案,以模擬FIDO USB安全金鑰的方式,透過手機確認以安全登入到Google帳號。

雖然,現階段還不是完全替代掉密碼的使用,但其實已經透過生物辨識,或是實體安全金鑰,來替代、減少或強化平時登入服務的輸入密碼動作,如此一來,是可減少用戶因為怕記不住而設定簡單密碼,或是釣魚網站威脅,也讓登入更簡單。

從雲端龍頭的發展動向來看,Google很早推動,包括從2014年開始,就在Chrome瀏覽器與Google服務,支援FIDO U2F身份認證,並在2017年傳出讓他們的全球員工,使用USB安全金鑰進行二步驟驗證,安全登入工作帳戶,避免網路釣魚(Phishing)的威脅。

微軟在這兩年也很積極,自2018年開始大力推動無密碼登入,不只是讓自家瀏覽器Edge與微軟帳號支援WebAuthn協定與FIDO2,去年7月,又宣布Azure AD服務支援FIDO2的無密碼登入,今年2月再讓混和式Azure AD也支援。同時,他們也不斷強調無密碼的世代將來臨,例如,他們現行提供的無密碼登入Azure方式就有三種,包括Windows Hello、Microsoft Authenticator app,以及FIDO2實體安全金鑰。

而在2020年2月,蘋果終於也加入到FIDO聯盟董事會,隨著這些主流科技巨頭與平臺的支持與推動,無密碼登入應用的發展可望加速。

 微軟正積極推動3種無密碼的登入方式 

在微軟帳戶的用戶身分安全性設定中,已經提供了多種證明使用者身分的方式,除了早期透過電子郵件或簡訊傳送OTP,還有三種屬於無密碼登入的選項,包括以Authenticator App,使用Windows Hello,或是FIDO2實體安全金鑰的方式。

實體安全金鑰選擇更多,近期國內線上購物已有販售

不過,使用者通常可能還會問到一個問題,就是U2F與FIDO2的實體安全金鑰(Security Key)哪裡買?

Yubico

在全球市場上最知名的,莫過於Yubico推出的多款YubiKey,消費者可以透過Amazon等國際電子商務網站買到產品。

歐生全

不過,其實臺灣也買得到這類型產品,像是專注身分驗證硬體製造的本土業者歐生全,他們就有直接販售ATKey.Pro,以及卡片式的ATKey.Card,而且都兼具指紋辨識的功能。另外,他們在今年3月也拓展到全球消費市場,將產品上架到Amazon。

美商動信

美商動信也是一例,之前他們提供了Gotrust ID的軟體解決方案,也有FIDO USB實體安全金鑰Idem Key,以及卡片式的Idem Card,今年8月他們新推可用來做憑證載具的Idem Key Plus,同時支援FIDO2和PKI功能。特別的是,他們的Idem Key在今年10月7日已經將產品上架到國內電商網站。

關楗

還有一家2017年成立的臺灣新創業者關楗(KeyXentic),在最近兩個月通過FIDO官方產品驗證,他們設計的KX906 Smart Token FIDO,結合PKI與FIDO U2F/FIDO2應用,並有指紋辨識機制,特別是還有智慧卡讀卡機設計。顯然,國內已有越來越多業者投入實體安全金鑰的發展。

特別的是,最近,在今年11月中旬,我們看到更多關於FIDO產品及服務的發展,例如,實體安全金鑰加入指紋模組的趨勢正成形,在上述提到的國內產品之外,Yubico預告,未來要推出他們首款搭載指紋感測器的產品。

另一方面,為了推動「無密碼」的體驗,在11月14日,歐生全與微軟宣布推出一個無密碼試驗計劃,是針對已使用Azure AD的企業,以及全球服務提供商,可以讓客戶小量試用ATKey.Pro登入Azure AD,這也顯示FIDO設備業者與微軟正推動「無密碼」的體驗,希望逐漸帶動整個市場。

此外,已在北美等地銷售自家Titan Key實體安全金鑰的Google,在今年1月,他們還開源了可製作實體安全金鑰的韌體專案OpenSK,這樣的作法,也是希望加速實體安全金鑰在市場上的應用發展。

 市面上已有多家實體安全金鑰可選 

在市面上,過去如果想要買到FIDO實體安全金鑰,最知名的品牌就是Yubico的Yubikey,且產品種類豐富,包含多種連接方式,如不同USB介面、NFC、藍牙或Apple lightning等,在全球電子商務網站Amazon上就有,現在則有更多品牌產品選擇,包括臺廠歐生全的ATKey.Card等產品(如圖),其他還有美商動信與中國Feitian的產品。

 實體安全金鑰臺灣電商也買得到! 

在臺灣如果要就近購買實體安全金鑰,目前仍無廠商代理Yubico,若要評估其他廠牌,仍可直接聯繫廠商。最近,國內線上購物網站PChome已可買到美商動信的實體安全金鑰Idem KeY,對於國內民眾而言,透過本土線上通路購買確實是會更方便。

 出現整合PKI與FIDO等應用的實體裝置 

FIDO實體安全金鑰也開始兼具其他應用功能,今年有廠商推出這樣的產品,例如,關楗設計的KX906 Smart Token FIDO是一例,整合FIDO U2F/FIDO2與PKI應用,同時提供智慧卡讀卡機,另外裝置上也配置指紋模組。連接介面上則有USB與Apple lightning。

 谷歌不僅推Titan Key,今年還釋出OpenSK 

去年10月谷歌開始在北美Google Store銷售自家品牌的Titan Key實體安全金鑰,後續又增加9個國家地區(臺灣尚未),但更引人注意的是,今年1月底他們在GitHub上釋出OpenSK專案,可將製作實體安全金鑰OpenSK韌體安裝到Nodic晶片的dongle開發板上(如上圖)。

國人生活常用的Line即時通訊,開始提供基於FIDO的登入

接下來,讓我們看看其他廠商服務及產品的FIDO應用,其實不只是Google、微軟等服務,還有日本Yahoo等,近期,國人普遍使用的通訊軟體Line,也宣布正式開始啟用FIDO身分識別功能。

事實上,在2018年Line就已經宣布將建置FIDO,而且UAF、U2F與FIDO2都有計劃,後續我們注意到Line Pay在日本啟用FIDO2,近期,他們也讓Line即時通訊服務也採行FIDO,目前他們規畫是分階段陸續開放。

例如,他們開放的是在iPad登入Line帳號,可透過FIDO標準用手機上生物辨識認證,在既有方式上,是以輸入帳號密碼與掃描QRcode的方式登入,現在新增使用智慧型手機登入。

簡單來說,現在Line用戶可在iOS或Android手機上先從設定啟用生物辨識功能,之後首次在iPad登入Line帳號時,輸入手機電話號碼並選擇「使用智慧手機登入」,之後就會顯示6位數認證碼,在從手機上設定連動其他裝置並輸入認證碼,即完成首次連動與登入。

之後,用戶在iPad上的Line帳號登入過程就很簡單,在iPad輸入手機電話號碼,之後就能在手機上透過生物辨識驗證身分直接登入。

雖然在Line的App介面上,沒有提到FIDO,但其實這裡所指的生物辨識、智慧型手機登入,背後其實也就是基於FIDO的應用。

對於導入FIDO的好處,他們也有說明,主要就是讓登入簡便,也減少用戶忘記密碼,或是怕記不住而設定了容易破解的密碼。同時,他們也提醒,新的生物辨識只是替代輸入密碼的動作,因此,用戶還是必需要預先設定好電話號碼、電子郵件與密碼。

後續,Line也會將FIDO導入到多個身分識別情境,包括Line電腦版登入可使用FIDO標準,最快今年底就會實現,此外,預計明年還有像是使用者更換手機要移動Line帳號,以及登入Line家族服務的場景能適用。

 Line生物辨識登入也是採用FIDO,已應用在iPad登入 

Line即時通訊服務也提供FIDO登入支援選項,強化帳號安全,現在他們開放的應用情境,是用戶在iPad登入Line帳號時,可透過FIDO認證標準用手機認證身分以登入。使用者只要在手機上先啟用Line的生物辨識登入,之後在平板上要登入Line,就可以輸入電話號碼並以自身手機的生物辨識來登入。

企業身分識別集中管理產品也結合FIDO,國內已有廠商做好準備

除了上述這些雲端服務,我們從企業產品面向來看,近年也有新增FIDO支援的案例。

例如,提供企業身分識別集中管理解決方案的全景軟體,他們推出的ID Expert,在2019年9月就開始可以支援FIDO 2的登入。

基本上,ID Expert這套系統,本身就是聚焦在企業的身分認證管理,而從他們在去年就提供支援的態勢上來看,顯然,他們是看好FIDO這個身分認證機制的發展。

關於全景軟體產品與FIDO的結合,他們提供了詳細的說明,基本上,ID Expert主機本身即是FIDO Server,可提供使用者註冊Fido裝置,同時,他們也強調能夠透過SAML協定,將企業內部及雲端服務的認證導向ID Expert的SSO Portal,進行FIDO認證。

例如,在內網應用方面,將可經由SAML協定(SP Initiated),將認證導向ID Expert SSO,通過FIDO認證後,即可再回到該系統應用,完成登入;而在整合雲端服務方面,如Office 365、Amazon等,則可透過SAML(IDP Initiated)串接,讓使用者統一使用FIDO認證,登入ID Expert SSO,之後用戶再點選該雲端服務項目,即可自動登入系統。

此外,他們也表示,將能夠提供FIDO SDK,便於金融等大型企業進行應用系統整合。

而他們導入的原因,全景軟體表示,ID Expert身份認證系統是以「集結各驗證方法的認證中心」作為產品的發展初衷,因此,期望能藉由整合並支援FIDO認證,強化認證的廣度及深度。

對於現階段FIDO的應用,他們的看法是,市場面仍處於推廣期,但他們已經先做好準備,而他們也希望共同加強推廣FIDO。同時,他們看好金融業的應用,認為是目前接受度最高的企業。

提升網路設備服務的安全,NAS大廠群暉年底也將支援FIDO

不只是雲端服務廠商,或是資安產品業者,我們還知道網路設備商也要這麼做,臺灣NAS大廠群暉,也會將FIDO標準導入到他們的產品,進一步增加設備安全性,讓群暉NAS用戶登入自己的DSM帳號可以更有保障。

群暉透露,他們在今年12月釋出的DSM 7.0 Beta版,就會開始支援 FIDO2身分認證。

具體而言,群暉在新的DSM 7.0 Beta版中,將開始支援兩種登入方式,包括實體安全金鑰,以及「Synology Approve sign-in」App。因此,未來他們將支援FIDO2標準的實體安全金鑰的直接驗證,不只是夠安全,他們還提到一點,就是這種以硬體為主軸的登入方式,將更具備隱私性,無法被用於跨站點追蹤使用者的使用行為。此外,他們同時也會推出一個自家專屬的App,讓使用者能以手機當作驗證器,透過OTP來驗證身分,並提供異常登入的警告。

關於他們提供FIDO支援的原因?畢竟,現在還很少看到像是他們這樣的網路設備廠商這麼做。對此,群暉表示,主要有兩個面向的考量,除了傳統密碼難以記憶的問題,傳統密碼也很容易造成資安問題。

首先,是他們已經體認到「傳統密碼」是用戶的痛點,因為使用者常常遇到忘記密碼的問題,例如,在他們客服系統最多被問到的問題,前三名中就有「忘記密碼怎麼辦」。其次,他們提到現階段服務提供商在身分安全的因應規則上,都是建議使用者設定強密碼,或者透過二階段驗證、簡訊 OTP 的方式來強化帳戶安全性,然而,這些方法並無法完全防堵駭客的暴力破解,以及釣魚網站的風險。

對此,他們認為,無密碼已是現在的國際趨勢,透過實體金鑰來維護裝置的安全性,並同時兼顧使用體驗,將成為廠商設計產品的一大趨勢。

而且,以他們自家產品性質而言,NAS設備多被應用在企業內部,因此,他們的看法是,就現行的FIDO採用趨勢而言,應該會連帶改變IT管理者在裝置管理上的經驗,而這樣的作法,也該延伸到對安全性要求更高的使用者,像是企業MIS人員。

 相關報導 

無密碼身分保護應用大爆發

FIDO2標準助攻,無密碼世代來臨:2019網路身分識別大躍進

其他相關報導:微軟呼籲用戶別再用簡訊多因素驗證

 


Advertisement

更多 iThome相關內容