| 吳幸芳/東海大學資訊管理學系 |
何謂無密碼身分驗證
密碼能使人們在網際網路上的資訊多一層隱私,也同時成為資料安全保護機制中的一項弱點,根據Verizon 2022年的研究報告顯示[1],超過80%的數據洩露是由密碼薄弱或洩露所造成。由此可知,密碼可能被共享、猜測或竊取,導致資料外洩,無法完全的保護使用者資訊,逐漸出現密碼產生器(random password generator)、密碼管理員和多重要素驗證(Multi-factor authentication,MFA)等機制,以加強密碼的強度。
現今,無密碼時代正在發展,無密碼身分驗證能使使用者無需創建和輸入密碼或回答安全問題即可登入,但不代表使用者無須進行任何形式的身分驗證即可直接進入網站,仍須通過多種身分驗證形式,以證明是否為本人,例如:設備PIN或指紋辨識等。通常會與多重要素驗證或單點登錄(Single Sign-On,SSO)結合使用[2],以改善用戶體驗、增強安全性並降低營運費用和複雜性。
無密碼身分認證之優點包含以下幾項[3]:
- 更強的網路安全環境
根據SpyCloud的研究報告顯示[4],擁有多組外洩密碼的用戶中,有64%會為多個帳戶重複使用類似的密碼,因此若密碼遭洩漏,攻擊者可訪問多個帳戶獲取機密數據,造成公司或使用者巨大損失。無密碼身份驗證可對最普遍的網路攻擊進行保護–網路釣魚,代表即使使用者收到網路釣魚電子郵件或連上網路釣魚網站,用戶並沒有密碼可以提供。加上創建虛假的一次性密碼(One-Time Password,OTP)、發送通知或指紋來進行身份驗證是相當困難的,種種因素皆提升用戶的網路安全環境。
- 更好用戶體驗和更高的生產力
人的記憶有限,生成和記住數百個密碼是不可實現的,因為忘記密碼導致用戶不便,久而久之使用簡單的密碼便處處可見。況且根據iProov所發佈的研究顯示[5],消費者會因忘記密碼而放棄線上購物。使用無密碼身份驗證後,這些問題都迎刃而解,並且便捷的登入能夠減少用戶花在管理密碼上的時間,可用於其他更有意義的事物。
- 降低長期成本
Forrester報告稱[6],美國組織每年用於與密碼相關的費用超過100萬美元。若使用無密碼身份身分驗證,長期下來可大幅降低成本。不再存儲密碼、重置忘記的密碼,也不再因資料可能外洩而煩惱。
FIDO
FIDO(Fast IDentity Online)聯盟[7]其使命為「身份驗證標準」,以幫助人們減少對密碼的過度依賴。FIDO聯盟促進認證和設備認證標準的開發、使用和遵守。FIDO協議為FIDO聯盟[8]所制定的一套網路識別標準,意在確保登入流程中伺服器及終端裝置協定的安全性。FIDO協議使用公開金鑰加密技術、多重要素認證與生物辨識特性進行認證,來提供更強的身份驗證。同時FIDO聯盟也確保所有利用FIDO核心規範的產品能夠協同工作,以提升全球無密碼身分驗證的兼容性和標準化。
FIDO聯盟目前發布三種用戶身份驗證規範[9],分別為FIDO UAF(FIDO Universal Authentication Framework)、FIDO U2F(FIDO Universal Second Factor)以及FIDO2。CTAP(Client to Authenticator Protocols)是對全球資訊網協會(World Wide Web Consortium,W3C)的Web身份驗證(W3C’s Web Authentication,WebAuthn)的補充規範,稱為FIDO2。
以下為FIDO核心規範介紹:
- FIDO UAF
用戶安裝FIDO UAF 堆疊(Stack)設備後,可以選擇在終端裝置上透過各種生物辨識等方式,例如:輸入PIN、聲音辨識、指紋辨識,即可進行線上登入。結合生物辨識等認證途徑,提供使用者順暢的無密碼登入體驗。
- FIDO U2F
FIDO U2F允許雙因素驗證,用戶登入時需添加第二個驗證因素,以證明是否為本人,增強現有密碼基礎設施的安全性。該服務還可以在其選擇的任何時間提示用戶提供第二因素設備,例如:FIDO安全密鑰。
- FIDO2
FIDO2由WebAuthn規範和Client to Authenticator Protocol(CTAP)組成。FIDO2通過嵌入式身份驗證,例如:生物識別或PIN,或用外部身份驗證,例如:FIDO安全密鑰、行動設備、可穿戴設備等,以支持無密碼、第二因素和多因素用戶體驗。
目前無密碼發展
今年Apple、Google和微軟已承諾[10]在未來一年正式支援W3C以及FIDO聯盟所制定的「無密碼登入」標準,希望能在不同系統的裝置之間,省去輸入密碼的步驟,利用生物辨識完成快速登入,無需密碼也作為帳戶恢復方法。三家科技巨頭公司也一同公告[11]未來為用戶提供兩種新功能,以實現更加無縫和安全的無密碼登錄:
- 允許用戶在各種設備或新設備上利用FIDO進行自動登入,而無需為每個帳戶重新註冊。
- 使用戶能夠在行動裝置上使用FIDO身份驗證,以登入附近設備上的網站或應用程式,不管所運行的操作系統平台或瀏覽器為何。
結語
密碼的出現使資料不直接暴露在網際網路上,但也因此成為駭客攻擊的重點之一。無密碼身分驗證的出現,能讓我們擁有更強的網路安全環境、更好的用戶體驗和更高的生產力以及可降低長期成本。為了減少對密碼的依賴性,FIDO聯盟發布三種用戶身份驗證規範FIDO UAF、FIDO U2F以及FIDO2。Apple、Google和微軟宣布在未來將支援「無密碼登入」標準,為使用者提供更流暢的登入體驗。無密碼身分驗證能改善密碼所帶來的問題,但若要全面使用無密碼登入,首先要改變的是使用者是否願意跨出舒適圈,嘗試使用「無密碼登入」。
[1] Verizon (2022). 2022 data breach investigations report檢自:https://www.verizon.com/business/resources/reports/2022/dbir/2022-data-breach-investigations-report-dbir.pdf (Jul. 04, 2022)
[2] CyberArk (2022). Passwordless Authentication檢自:https://www.cyberark.com/zh-hant/what-is/passwordless-authentication/ (Jul. 05, 2022)
[3] JumpCloud (2022). The Benefits and Challenges of Passwordless Authentication檢自:https://jumpcloud.com/blog/benefits-challenges-passwordless-authentication (Jul. 05, 2022)
[4] Business Wire (2022). SpyCloud 2022 Identity Exposure Report: Majority of Consumers Have Poor Password Hygiene 檢自:https://www.businesswire.com/news/home/20220302005209/en/SpyCloud-2022-Identity-Exposure-Report-Majority-of-Consumers-Have-Poor-Password-Hygiene (Jul. 05, 2022)
[5] iProov (2020). The End of the Password: 50% Of Young Consumers Share Their Log-in Details 檢自:https://www.iproov.com/blog/the-end-of-passwords-iproov-consumer-survey (Jul. 05, 2022)
[6] Forrester (2018). Best Practices: Selecting, Deploying, And Managing Enterprise Password Managers 檢自:https://www.keepersecurity.com/assets/pdf/Keeper-White-Paper-Forrester-Report.pdf (Jul. 06, 2022)
[7] FIDO (no). Alliance Overview 檢自:https://fidoalliance.org/overview/ (Jul. 06, 2022)
[8] HENNGE (2021) FIDO 是什麼?無密碼時代的來臨 檢自:https://hennge.com/tw/blog/what-is-fido.html (Jul. 06, 2022)
[9] FIDO (no). FIDO Alliance Specifications Overview 檢自:https://fidoalliance.org/specifications/ (Jul. 12, 2022)
[10] The verge(2022) Apple, Google, and Microsoft will soon implement passwordless sign-in on all major platforms 檢自:https://www.theverge.com/2022/5/5/23057646/apple-google-microsoft-passwordless-sign-in-fido (Jul. 06, 2022)
[11] Apple (2022) Apple, Google, and Microsoft commit to expanded support for FIDO standard to accelerate availability of passwordless sign‑ins 檢自:https://www.apple.com/newsroom/2022/05/apple-google-and-microsoft-commit-to-expanded-support-for-fido-standard/ (Jul. 13, 2022)
