想像一下,以下的場景你是否相當熟悉:
場景一,你想要申請一個網路服務,又怕忘記密碼,因此為了方便好記,你將你的信箱、網路銀行、線上影音平台,全部都設定同一組帳號密碼。
場景二,你看到新聞上再度出現了資安事件,意識到自己的密碼可能不夠安全,因此透過密碼產生器設定了一組強密碼「$]2iUzzJ」,但是密碼複雜到你記不得,於是你把它抄寫在一張紙上,貼在辦公桌螢幕上最顯眼的位置。
傳統密碼的痛點
「傳統密碼」現存許多痛點,例如對使用者來說,上述的強密碼看似合理,也能增加安全性,但人腦其實並不適合用來記憶密碼,這項行為基本上違背人性。而對於提供服務的廠商來說,即使目前多半有一套因應的規則,比方說建議使用者設定強密碼,或者透過二階段驗證、 簡訊 OTP(One-time password)的方式來強化帳戶安全性,也都無法完全防堵駭客暴力破解以及釣魚網站的風險。
尤其來到網路時代,許多關鍵資料與服務都已上到雲端,也讓駭客攻擊的範圍變得更廣,來自外在的風險越來越高。根據美國電信商 Verizon 在 2019 年的一份調查,有 80% 的安全漏洞跟密碼外洩有關,而有 51% 使用者的密碼是重複使用。對於駭客來說,資料就是金錢,攻擊手法已經從單純的癱瘓系統,進展到透過釣魚網站等方式取得使用者的個人資訊,進一步獲取更大的利益。
從 Something you know 到 Something you are
要解決產業現存的問題,首先我們得先了解現階段身分驗證有哪些主要方式。
一、你知道的東西。(Something you know):就是大家熟悉的傳統密碼,但可以被破解的機率很大,只要某個網路服務有用,就有被駭客攻擊的可能。
二、你擁有的東西(Something you have):安全性比傳統密碼更高,如透過發送 OTP 密碼到個人裝置,再進行驗證。例如,現在很多網路銀行,在使用者進行轉帳時會發送一組簡訊密碼到手機,以及常見的 Google Authenticator 都屬於此類。
三、你這個人的東西(Something you are):個人的生物特徵。舉凡指紋、人臉、虹膜辨識都屬此類。
由於透過個人所擁有的裝置以及生物特徵,能夠大幅縮小駭客取得認證的可能性,目前,產業進行身分認證的方式也正逐漸從第一類「Something you know」演進到第二、三類的「Something you have / you are」。既然「擺脫傳統密碼」已成為產業共識,那麼也是時候來帶大家認識 FIDO 這個新世代網路身分識別標準,並解釋其在這兩年大幅成長的原因。
什麼是 FIDO?
什麼是新世代網路身分識別標準 FIDO (Fast Identity Online)?簡單來說,可以理解成以硬體裝置為主軸,作為驗證的一種身分認證方式,主要目標是為各種網站和行動服務提供一套開放、互通的標準,去實現使用者可以用安全的硬體安全模組,去取代傳統的密碼來進行身分驗證。
舉例來說,如果你使用的服務支援 FIDO 標準,就能夠使用通過 FIDO 標準的實體安全金鑰(如 USB Key)來直接驗證、存取服務;又例如你擁有一台支援 FIDO 標準安全模組的筆電,比方說 Windows hello,那麼你也可以透過這台電腦上的指紋辨識等功能,進一步存取服務,進行更為安全的身分認證。
相較於其他的身分驗證方式, FIDO 的安全性更高。以架構上來說, FIDO 不需要進行秘密共享,且私鑰不存在伺服器端,將風險分散在裝置端,而不是集中在伺服器端,這意味著即便伺服器被攻破,也不會有大量帳密洩漏的問題。此外, FIDO 密鑰對於每個網路站點具備特殊的唯一性,因此它們不能用於跨站點追蹤使用者的使用行為。
事實上,由於最初是因應網路安全而生的標準,已經有許多一般人熟悉的網路服務已經支援這項標準,比方說 Google Chrome、Firefox、Edge 等主流瀏覽器。另外一個常見的還包括 Windows 電腦。微軟在去年 2 月宣布 Windows Hello 通過 FIDO2 認證。只要符合 FIDO2 認證的微軟新版 Windows 10 版本,都可以透過 FIDO2 認證的生物辨識方式登入所瀏覽的 Microsoft 旗下網站服務,例如 Outlook.com、Microsoft365、OneDrive 等。
FIDO 聯盟成立於 2012 年,發展至今已有超過 250 個會員加入,其中包括 PayPal、 Google、蘋果、微軟(Microsoft)都是這個聯盟的成員,許多網路服務商、金融機構以及政府單位皆參與其中,共同推動產業這項「無密碼」的新開放標準。
「無密碼」的未來
Synology 在今年 12 月推出的 DSM 7.0 Beta 版,也導入 FIDO 身分認證,期待讓使用者擺脫過去在記憶密碼時的不便,同時加強身分驗證的安全性。
透過支援行動驗證程式 Synology Secure SignIn App 以及硬體金鑰的登入方式,提供兼顧安全且便利性的全新使用體驗。之所以同步導入這兩種新的身分驗證方式,除了希望使用者能依據自己的使用情境選擇合適的方式,也希望推廣 MFA 多因子階段驗證,以去除單因子的洩漏風險。
除了希望能夠涵蓋到更多使用情境,同時也讓使用者能夠習慣導入一個新機制。Approve sign-in 是因為現在大家幾乎都有行動裝置,只要下載 App 就可以使用,兼顧實用性與安全性;而 FIDO 是很強的身分驗證方式,且目前市面上已經有不少支援 FIDO 認證的實體安全金鑰,使用上又很簡單,目標客群也可以進一步延伸到對安全性要求更高的使用者,例如企業 MIS 人員。
(Secure SignIn 提供一個更方便的驗證方式,使用者在登入時會收到系統需要核准登入的提示,點選接受即可,不需要密碼或驗證碼。)
FIDO 可以說是目前最安全的身分認證方式,以硬體為主軸的登入方式不僅免去記憶密碼的步驟,也更具備隱私性。這兩年 FIDO 已經進入熱烈發展的階段,大部分的架構以及認證在瀏覽器端已經建置完成,包括政府機構、金融單位、電信產業等都已有許多應用實例,接下來就是提供各個服務的廠商是否能跟上腳步,共同迎向「無密碼」的未來的時候了。