什麼是無密碼登入?

在前篇文章中,我們提到了兩階段認證,但是比兩階段認證更新穎一點的是無密碼登入。無密碼登入這種登入方式,乍聽之下好像不怎麼安全,但是如果用的方式正確,其實不但可以有兩階段認證的效果,又可以讓使用者免於密碼管理的麻煩。在這個充滿智慧型裝置的生活和工作環境,如果我們能夠有效的利用身邊的裝置來加強資安並減少密碼被洩漏的風險,那何嘗不是兩全其美呢?

為何使用密碼?

自古以來,密碼一直是我們用來驗證自己的方式,從 ATM 領錢到打開保險箱所用的都是密碼。可是從網路的時代流行開始,每個人使用的服務就慢慢的變得越來越多了。很多人為了貪圖方便會在不同的網站上都登入同一個密碼。這本身並沒有什麼問題,可是如果有網路的服務不小心在資料庫中洩漏出去的話,很有可能讓你其他的網站的密碼也被讓人知道。你可能認為密碼被洩漏的網站是社群網站或是電子郵件之類的,沒有什麼,但是如果你在銀行的網站也使用同一個密碼的話,那小偷就可以登入到你的銀行帳號裡了。其實密碼洩漏不只小網站上發生,連 Linkedin、Yahoo 等大網站也層出不窮。所以最好的方式是在每個網站上都使用不同的密碼。可是密碼一多了除非你有很好的記憶力,不然把密碼寫下來或是在某個地方管理反而就本末倒至了。

密碼的替代品

歸功於科技的發達,現在有了可以辨識人臉和指紋的技術。如果使用了生物識別的話,就免於輸入密碼的麻煩了。其實有很多地方已經慢慢在使用這項技術,如在機場裡的自動通關的機器,或是用指紋解鎖手機時等都是。但是生物識別卻沒有解決一個問題,而且它存在著比密碼驗證更大的弱點。如果服務用來儲存你的生物資訊的資料庫被入侵了的話,那麼你即不能換臉、也不能換指紋,是生物識別很大的隱憂。所以生物識別在目前的網路世界裡並不流行。

比較安全的無密碼登入用到的其實是你每天所攜帶的一樣東西:手機。雖然目前使用這個驗證方法的服務還沒有很多,因為目前沒有通用的協定,而且要實作這種登入方式的話那個服務就必須要寫他自己的 APP 。如是 Google 服務可以支援的 Google Authenticator 來做登入。使用者需要預先綁定一隻手機的 Google Authenticator 到他的 Google 帳號上,之後,每當使用者輸入他的 Gmail 之後, Google 就會在手機上跳出要求使用者許可的視窗,除非使用者點擊許可,不然在電腦上是不會登入的。這個比生物識別來得要安全,因為 Google 儲存的並不是你的生物資訊,而是你手機的 ID。所以如果資料庫洩漏的話,只要重新設定一次手機來更改那串 ID 就可以了。

可是如之前提到的,不是每一個服務都有一個 APP,而且使用者也不一定想裝那麼多 APP 在手機上就為了驗證每一項服務的登入。其實現在還有一個更普遍的做法,不論是大小網站,不用 APP 也可以達到無密碼登入,那就是單一登入。單一登入在個人的服務上其實已經非常常用了。一般人擁有的帳號最多的就是 Google、Facebook 或是 Line,而這些服務使用了 OpenID 或是 SAML 就可以讓其它服務,如 Spotify 透過 Facebook 的帳號來做登入了。這個驗證使用者方式的好處在於使用者只需要用 Google 或是 Facebook 的密碼或是登入方式來登入其它的服務,而其它服務也不會儲存到使用者的密碼。所以是便利、簡單又安全的登入方式。

企業方案單一登入

跟個人使用的情況不一樣的是,公司的帳號在做由第三方單一登入時大多都需要先整合的。而這個整合就是先針對該服務底下的整個網域的使用者做強制性的重新導向,非個人使用者導向的「選擇性」登入。所以在公司的環境裡需要先做設定。其實很多企業導向的服務如 Salesforce、Slack、G Suite 和 Microsoft Office 365 大都為了便於管理員管理而提供給第三方服務來做登入。而 Google 的企業版也提供單一登入的服務,但是管理員需要做一些較為複雜的設定才能開始使用。可是 Google 的企業版雖然可以單一登入 Salesforce 和 Slack 等服務,但是 Google 的服務並不是為了資安所設計的,所以不論是在基本的 IP 限制或是裝置的控管都沒有設計的很完善。如果你在煩腦公司裡的同仁要如何管理密碼的話,HENNGE One 中的 HENNGE Access Control 會是一個不錯的選擇。

HENNGE Access Control 不只支援市面上大部份服務的 SSO,也提供詳細的說明文件和技術人員的支援。使用者只要登入一個 HENNGE Access Control 的帳號之後,就可以同步登入以下的所有服務:

而且使用 HENNGE Access Control 最大的優點在於資安方面的效益;管理員可以增加 IP 限制來防止駭客從公司的外部來做登入,也可以強制要求使用者一定要打開兩階段驗證才可以在公司外部登入等。

HENNGE 同時也支援無密碼的「裝置憑證」登入。管理員事先派發憑證到使用者的電腦或手機上之後,使用者只要點擊一下「以裝置憑證登入」的話,伺服器就會直接讀取使用者裝置上的憑證。這張憑證因為是經過特別的軟體來安裝的,所以使用者也無法從電腦裡匯出。而這比之前提到的生物識別來的更安全,因為憑證是隨時可以更換也可以從後台撤銷的。

WRITTEN BY