圖片來源: 

FIDO

Google、微軟與蘋果選在5月5日的「世界密碼日」(World Password Day)宣布,將擴大對專門推動無密碼的FIDO(Fast IDentity Online)聯盟的支持,以加速無密碼時代的到來。

2013年由資安專家所建立「世界密碼日」是為了呼籲全球的網路用戶培養良好的密碼習慣,包括使用強密碼或是避免於不同的網站使用同樣的密碼,然而,隨著各式服務愈來愈多,使用者對密碼的記憶有限,再加上駭客透過網釣、詐騙與暴力破解等各種方式展開攻擊,讓密碼愈發成為高風險的資安缺口,事實上,在「世界密碼日」現身的同一年,專門推動無密碼的產業組織FIDO聯盟也同時誕生。

FIDO聯盟與全球資訊網協會(World Wide Web Consortium,W3C)共同制定了無密碼登入標準,支援使用者透過生物辨識或硬體金鑰等技術的登入服務,Google、微軟與蘋果原本就是該聯盟的董事級會員,但於本周攜手宣布將擴大對通用無密碼登入標準的支援,將讓使用者不管是在任何裝置或平臺上都能不需密碼便登入網站服務及程式。

FIDO聯盟說明,過去聯盟成員的作法是要求使用者要執行無密碼功能時,必須先在每個裝置上登入網站或程式,但本周則新增了兩個免密碼登入的管道,一是允許使用者於各種裝置上自動存取其FIDO登入憑證,不必於每個帳號上重新註冊,二是可利用行動裝置上的FIDO認證以於鄰近的裝置上登入網站或行動程式,不管這些裝置使用什麼瀏覽器或作業系統。

圖片來源/FIDO

Google則說,該公司打算在Android平臺及Chrome瀏覽器上導入對FIDO登入標準的支援。若使用者已於手機上存放稱為Passkey的FIDO憑證,當要於電腦上登入Google帳號時,只要把手機放在電腦旁邊,就能收到提示以將它解鎖,未來就算手機遺失,相關的Passkey也會自動從雲端備份同步到新手機上。

微軟帳號則早在去年就全面支援無密碼登入根據微軟的說法,密碼不僅很難記,也是最常見的駭客攻擊點之一,目前平均每秒就有921次的密碼攻擊,頻率是過去一年的兩倍。

微軟已經允許使用者透過Microsoft Authenticator程式、Windows Hello、安全金鑰,以及傳送至手機或電子郵件信箱的驗證碼來登入微軟帳號,而不再需要密碼。微軟還進一步讓使用者可移除密碼登入功能,以避免密碼遭到濫用,本周微軟亦表示,該公司已有接近100%的員工採用無密碼的選項登入公司帳號。

其實一般使用者不僅還不習慣無密碼登入,更經常於不同網站採用同樣的密碼,近日的調查顯示,高達68%的使用者在不同的服務中使用同一密碼,有鑑於早有眾多服務的憑證資料庫外洩,也讓資安專家苦笑,駭客根本不需要「闖入」使用者帳號,因為他們只是「登入」。

就算微軟持續推崇無密碼登入,但同時也建議仍堅持密碼的使用者應該要建立強大的密碼,包括至少要有12個字元,且應內含大小寫、數字或符號,不要使用字典可以查得到的單字作為密碼,不要使用重覆的密碼,且在懷疑遭到入侵時應儘快變更密碼。

在微軟、Google及蘋果等三大科技業者的支持與推動下,「世界密碼日」有朝一日將成為僅作為懷念之用的紀念日,並迎接無密碼時代的到來。

熱門新聞

Advertisement