【FIDO無密碼登入邁向普及應用階段】今年2月初FIDO聯盟在臺舉辦研討會,該聯盟執行長暨行銷長Andrew Shikiar指出,在FIDO認證模式上,伺服器端只保存公鑰,用戶端需結合認證器,來做到身分驗證,多年來其安全性已經受到各界認可,而今年最受關注的議題,他首先強調的就是Passkey的應用,可望促進更多消費端網站應用程式邁向無密碼登入。(攝影/羅正漢)

密碼是現代人日常生活的一部分,多年來,人們使用各種實體或網路服務,往往都需要經歷註冊帳號、輸入密碼的環節,用以驗證該帳號就是用戶本人登入。

但人們需要記憶的密碼越來越多,不論是電子郵件、銀行、各種社交媒體等,再加上每個人通常都擁有多個網路帳戶,且每個帳戶變得越來越有價值,以及身分冒用層面的危害與風險逐年升高,使得帳密/憑證(credential)成為駭客與惡意軟體攻擊鎖定的目標。

例如,在每天的新聞報導中,經常出現民眾網路服務帳號遭遇網釣攻擊、撞庫攻擊,以及身分盜用、帳號內敏感資訊被竊取,進而引發各式資安事件與問題,不僅如此,企業員工帳密也是經常被鎖定的目標,導致防護被突破,機敏資訊外洩等資安事件。

為此,這五年來,各國政府、資安界都在大力推動無密碼登入技術,以臺灣而言,隨著新一代網路身分識別日益受到肯定,政府與金融業也都已經建置這樣的身分安全服務。

到了2023年,無密碼登入又有新的重大進展,由於2022年多裝置FIDO驗證(Multi-Device FIDO Credentials)、稱為Passkey的技術登場,提供了可複製與備份的特性,再加上蘋果、Google、微軟皆承諾擴大使用,作業系統及瀏覽器將提供相關支援,已被視為促使消費端的無密碼登入應用普及的關鍵。

而2月初FIDO聯盟在臺舉行研討會,也呼應這個全球IT新趨勢,當大家在此探討全球FIDO技術的最新發展時,PassKey也是最主要的焦點之一。

雖然無密碼登入前景看好,但很多企業對於這方面威脅與防護的了解,仍相當不足,因此,缺乏積極行動,而且,有些單位對於身分安全的概念仍停留在很粗淺、老舊的階段,需要更多的宣導與教育。

電商強化用戶身分識別,加大無密碼登入推動力道

這幾年來,臺灣政府與金融業相當關注FIDO的技術應用,因此陸續出現使用案例,像是:臺灣內政部資訊中心所推動的TW FidO,提供政府機關員工與便民服務的應用;金融業也持續推動金融FIDO,解決以帳號密碼作為身分驗證方式所衍生出的各項問題。

但是,臺灣的電子商務服務業者,對於強化網路身分識別、保障消費端用戶帳號安全,顯然不夠積極。

以營業規模最大的富邦媒體(momo購物網)而言,許多民眾都注意到兩三年前業者會持續發布宣導資訊,提醒購物網的用戶注意網路釣魚及防詐騙,2022年底,當消費者登入購物平臺時,會發現在每次登入時,不只輸入帳號密碼,還要輸入從手機接收到的6位數簡訊OTP驗證碼,顯示業者開始在會員帳號登入上導入MFA。

然而,這麼做就有足夠的保障嗎?事實上,要確保網路消費者的身分安全,業者必須體認到這是必須持續改良與強化的過程。

以國際大型電商平臺業者eBay的經驗為例,起初為了提升網站服務登入過程的安全,而實施簡訊OTP的機制,2019年開始推動基於App的登入通知推播方式,採用FIDO UAF標準規範,讓使用者點擊確認登入,主要考量是基於SMS的2FA已變得不夠安全,同時也期望改善消費者的體驗。

半年後,他們進一步在Android/Chrome等系統平臺上,提供FIDO2/WebAuthn的支援,之後再擴展到Mac、Windows與iOS。最近2022年,他們又再增加對於Passkey的支援。從eBay的推動方向來看,他們希望之後能夠完全禁用密碼,並克服帳號恢復的問題。

從上述兩例來看,也反映許多網站服務業者可能存在的現況,大家對於MFA的支援,仍處於初期階段,並未更進一步升級。

儘管最近五年來,FIDO技術受到政府與金融業的關注,再加上相關威脅與事件層出不窮,按理來說,大家都應該很關注如何確保身分安全,但實際上,並非如此,對於其他產業與個人而言,都缺乏認知。

一般民眾與大眾新聞媒體雖然都關注個資外洩、網路詐騙事件,但在個人平時工作與生活的使用習慣上,其實並不注重自己的權益,也未養成良好的網路衛生習慣,積極了解與落實提升資安防護各種手段的人,仍然相當稀有。

面對資安威脅,設法強化與確保身分安全是每個人都能做到的部分,無論你使用的是安全性較差的靜態密碼,或是進階的OTP動態密碼、MFA驗證,甚至是目前公認相對較難被冒用的無密碼登入,我們都需要多多了解這些做法的優缺點,以及可能面臨的資安威脅,並且持續關注近期發生的各種資安事件,才能及時掌握資安風險態勢的變化。

為何要用無密碼登入?對攻擊者而言,密碼其實很容易取得又好用

想要預防自己的身分遭冒用,有一種做法是從攻擊者的角度來思考,我們可能更容易了解自己該怎麼做。

試想,當駭客處於不知道用戶密碼的情況下,他們要盜用民眾的網路服務帳號會怎麼做?我們歸納出以下幾點:

首先,駭客可以利用大家通常為了方便而設定容易記憶密碼的心態,因此,能透過暴力破解,或是蒐集最常使用的密碼組合、側錄竊取的個人資訊等,來取得帳號密碼資料。

例如,過去我們曾報導有些民眾的個人電子信箱是以電話號碼或生日作為密碼,且未啟用兩步驟驗證(2SV),而犯罪集團之所以得逞,是因為他們透過購買個資來猜出密碼,而在盜用帳號、獲取更多個人資訊後,再假冒用戶向銀行變更手機號碼並獲取OTP碼,進而將民眾銀行帳戶盜轉一空。

其次,駭客也可以直接鎖定用戶攻擊,利用社交工程手段騙取密碼或偷密碼的方式,發動網路釣魚攻擊,或是藉由散布或植入竊密程式,來竊取用戶的帳密與憑證。

再者,駭客也會直接鎖定企業攻擊,藉由入侵企業的用戶帳密資料庫,一次偷取大量用戶帳號密碼。

不僅如此,上述提到民眾為了記憶方便,可能在不同網路服務,使用了同一組帳號密碼,因此,這又讓駭客有了更多可乘之機,並搭配自動化工具發動俗稱撞庫的填充式攻擊。

因此,這也是為何資安界呼籲大眾,要設定不容易被猜到的密碼,不要共用帳號密碼,應啟用MFA多一道保護。

事實上,網釣攻擊威脅至今仍持續攀升,最主要原因在於,發動攻擊需付出的成本與心力並不多,卻能有不錯的成效,使得攻擊者對此更有興趣,進而衍生出販售網釣攻擊套件,甚至提供網釣即服務(Phishing-as-a-Service,PaaS)這類平臺,當中還會持續增加可規避網釣偵測的機制。

綜觀此一發展,攻擊門檻不僅降低,也帶來威脅與日俱增的現況。

因此,多年來資安界不斷呼籲用戶啟用雙因素驗證MFA,或是平臺業者開始強制啟用MFA,提升企業應用系統存取的帳號安全,以及強化網路服務會員帳號的安全。

MFA遭破事件頻傳,突顯OTP本質是密碼而難逃缺陷

隨著各界採用MFA比例的增加,對於攻擊者而言,除了繼續攻擊那些缺乏MFA防護的企業系統與網站服務,也聚焦如何突破MFA的防護。

例如,攻擊者利用同樣手段施以攔截或網釣OTP的攻擊,竊取仍是密碼形式的驗證碼,另外,還有近年興起的一種MFA通知轟炸攻擊(Push bombing),透過頻繁觸發進行OTP驗證,引誘使用者因誤按操作而乘機奪取身分。

在2022年農曆春節前夕,臺灣就發生嚴重的事件。有網路犯罪集團接連假冒多家銀行業名義,對民眾發動大規模網釣攻擊,透過簡訊管道散布釣魚網站,騙取用戶的帳號與密碼,同時還騙取用戶收到的OTP碼,進而掌控民眾網路銀行帳戶,再盜轉金錢。

而在2021年1月,發生台灣大哥大手機在出廠時被植入惡意程式的事件,這讓詐騙集團能以用戶門號冒名申請遊戲帳號。該惡意程式會攔截發送到手機的OTP驗證碼,再將用戶門號作為遊戲點數詐騙的人頭帳號。

而在國際間,也曾出現利用電信業SS7協定漏洞,以及SIM卡劫持(SIM Swap)的攻擊手法,假冒用戶向電信客服謊稱SIM卡遺失,進而獲取手機號碼控制權,其目的都是竊取簡訊OTP碼。

而且,駭客不只針對企業網站服務的用戶會員帳號,也鎖定企業內部員工帳號攻擊。

2023年2月知名網路論壇Reddit發生的資安事故,就是一個例子。該組織雖然啟用了簡訊OTP的MFA,但由於組織成員帳密與簡訊OTP都被竊取,導致內部文件、程式碼、系統存取權限等被竊。

而在2022年11月,雲端檔案同步服務業者Dropbox也傳出遭駭,根據該公司公布的調查結果說明,是硬體OTP產生器的一次性密碼也被騙走,使得駭客盜帳號時也能通過MFA驗證。

雲端通訊平臺業者Twilio在2022年8月遭遇的事件,也是一例,自家員工遭網釣簡訊攻擊,不僅導致公司內部遭駭客入侵,更嚴重的是,該公司併購的Authy身分驗證服務受影響,以及使用Twilio服務提供簡訊身分驗證服務的企業,同樣也受影響,使得整起事件波及了上百家企業組織。

網路設備大廠思科也曾因此受害,他們2022年5月遭入侵,對方正是針對基於App驗證的MFA機制而來,發動了MFA通知轟炸攻擊。駭客不僅竊取了員工帳密,之後再藉由語音網釣,與不斷觸發大量MFA登入請求通知至員工手機,導致員工因頻繁通知而誤按允許。

不過,也有成功抵抗這類企圖竊取身分攻擊的消息。例如,雲端服務業者Cloudflare在2022年7月遭遇網釣攻擊,所幸員工是採用FIDO實體安全金鑰(Security Key)登入,因此該次事件沒有發生被入侵的情況。

全球都在推動無密碼登入,臺灣也要跟進,確保使用者身分安全

無論如何,上述這些網釣攻擊事件,徹底反映了傳統密碼所帶來的問題,以及MFA機制現在正需要往更強健的作法邁進,這也是無密碼登入及FIDO技術持續受到看重的主要原因。

具體而言,FIDO技術標準的特別之處,就是不同於傳統密碼的驗證架構,是自己與伺服器都知道帳號與密碼,FIDO則是採用公開金鑰基礎架構,FIDO伺服器端只保存相對應的公鑰,私鑰保存在裝置端,而且身分驗證是在裝置端進行,並可搭配生物辨識技術與硬體安全模組。

目前來看,臺灣政府與金融業在FIDO2標準提出後,已經陸續展開行動,而今年最受關注的焦點,將是多裝置FIDO驗證,也就是普遍稱之為Passkey的機制,從目前發展態勢來看,這項機制有助於消費端的網站服務,更接納無密碼登入。

今年2023年2月初,FIDO聯盟在臺舉行研討會時,該聯盟執行長暨行銷長Andrew Shikiar指出,Passkey已有早期導入業者,不僅是有國際支付業者PayPal、電子商務平臺業者Shopify,在亞洲也有日本業者積極提供支援,包括日本Yahoo,以及NTT DoCoMo。

而從密碼管理服務業者1Password所統計的業者,還有像是電商購物平臺Best Buy、eBay,金融服務業者Robinhood、Card Pointers,旅遊休閒平臺Kayak、Scrooge Games,社群平臺Mangadex、omg.lol等。甚至1Password業者本身也在2月9日表示,該公司的解決方案將全心致力於Passkey,提供以Passkey為中心的驗證方式。

對於臺灣普遍提供網站服務的企業組織而言,不論是資訊服務、人力銀行、旅遊百貨服務、社群網站、線上遊戲,以及電子商務等各式業者,也該想想對於用戶會員帳號的登入安全,除了過往所談的MFA的支援,異常IP位址登入的示警等條件式存取控管,現在勢必也更關注,應提供更佳的MFA機制。

而不是單方面呼籲用戶小心防範帳號被盜用,網路服務業者自身卻未設法提供更安全的帳號登入驗證機制。

 

突破MFA防線成常態,攻擊者已能誘騙OTP碼與通知允許,半年來接連有多家IT廠商與網站遇害

 2022年8月  雲端通訊平臺業者Twilio公布遭駭事件,說明員工遭網釣簡訊攻擊,簡訊內容提及員工姓名,以密碼過期或班表更換為由,誘騙員工前往簡訊內的連結。特別的是,由於該公司併購的Authy身分驗證服務,以及使用Twilio的服務來提供簡訊身分驗證服務的企業組織,都受到影響,因此波及了上百家企業組織。

 2022年8月  思科發布資安事件公告,說明5月下旬遭網路攻擊,並公布完整攻擊鏈,當中說明起因是員工個人Google帳號遭駭,攻擊者再利用帳號同步功能獲取存於瀏覽器的Cisco帳密,之後又再利用語音網釣攻擊手法,以及引誘員工接受攻擊者發動的MFA請求通知,進而獲取了進入思科的VPN權限。

 2022年8月  Cloudflare揭露7月遭網釣攻擊,但因員工使用FIDO實體安全金鑰(Security Key)讓攻擊者無功而返。該公司表示有76名員工收到網釣簡訊,導向一個Cloudflare-Okta網域的登入頁面,但該網域是假冒的,且當日才註冊,雖有3名員工被騙走帳密,但攻擊者未能成功盜用員工帳號。

 2022年11月  Dropbox公布遭駭事件,調查結果顯示,是該公司開發人員誤信了假冒CircleCI名義的網釣郵件,有員工的GitHub帳號、密碼,以及硬體OTP產生器的一次性密碼都被騙走,造成130個儲存庫遭駭客存取的狀況,後續該公司表示,他們已在規畫導入WebAuthn認證機制,搭配FIDO式硬體金鑰或生物辨識機制來阻擋網釣。

 2023年2月  知名網路論壇Reddit公告發生資安事故,已調查出該組織員工在2月5日遭網釣攻擊,由於帳號、密碼與簡訊OTP都被竊取,導致攻擊者入侵後,獲取了內部文件、程式碼與業務系統存取權限。該公司表示,這次事件讓他們了解到,以簡訊傳送OTP為2FA,並不夠安全。

資料來源:iThome整理,2023年2月

熱門新聞

Advertisement