用更加安全的方式一鍵登入 SaaS 雲端服務

每天在工作時，我都得登入各式各樣的 SaaS 服務。身為一位在 SaaS 公司上班的員工，我大部分的業務都是在雲端上完成的。而最近，我登入 SaaS／雲端服務的方式改變了。由於這樣的登入過程變得非常迅速，且不用犧牲資安強度，我實在沒有辦法不將這樣的經驗分享給大家。因此，我想在這邊和大家分享我登入 SaaS／雲端服務的過程。

安全且便利地登入 SaaS／雲端服務的需求日漸增長

根據 Gartner 的研究，自從 COVID-19 疫情爆發以來，全球有 88% 的企業鼓勵採用在家辦公的模式上班。而在疫情爆發前，SaaS 的市場就已經在成長了。Blissfully 的報告指出，每家中型企業平均使用 137 種軟體服務。從這些數據來看，我們可以輕易地推斷出許多在家辦公的員工正在使用多種不同的 SaaS 服務。

像 SaaS 這樣的雲端服務是隨時隨地可以被存取的。事實上，隨時隨地存取的便利性正是使用 SaaS 的益處之一。然而，使用者如果可以隨時隨地存取資料，如何控管資料的存取將會成為一項難題。限制使用者只能從特定的 IP 位址存取資訊在遠距辦公盛行的情況下是不可行的。因此會比較推薦改採用強度較強的密碼。但同時，Google 所提供的問卷調查指出有 65% 的密碼是被使用者重複利用的。另外 Veriszon 的報告也指出 81% 由駭客所造成的資料外洩事件都是由竊取或是破解強度較弱的密碼所達成的。而就算使用者自認將密碼管理得很好，根據 Google 調查指出，仍有 75% 的美國受訪者表示在記住並管理多組帳號密碼上遇到困難。

因此，與其過度依賴密碼的強度，透過多重因素驗證（MFA）的方式登入雲端系統會是更好的解決方案。多重因素解決方案顧名思義就是在登入時不單單只驗證一種登入要素，而是驗證多個不同的登入條件。如今最普遍的多重因素驗證就是透過智慧型手機來達到第二階段的驗證。同時根據微軟的報告，多重因素驗證可以阻擋 99.9% 的帳號盜取攻擊事件（ account compromised attacks）。

HENNGE One 是什麼？

在我們討論登入流程之前，先讓我簡單地介紹一下我們的產品 -- HENNGE One。 HENNGE One 是針對複數的 SaaS／雲端平台提供安全穩固的單一登入（SSO）功能的一個 SaaS 服務。若一家公司有在使用複數的雲端平台或是 SaaS 服務，使用者就會要在存取不同軟體時重複登入許多不同平台，而這是一件非常沒有效率的事。另外，要管理不同 SaaS 服務上的多組帳號密碼對於使用者而言也是相當困難的一件事。 單一登入（SSO）是一種透過單一一組身份及密碼來登入多個 SaaS 服務的軟體解決方案。有了這樣的解決方案，使用者就不需要再為了不同 SaaS 服務去管理多種不同的帳號及密碼了。另外，只要使用者通過了其中一個 SaaS 服務的登入驗證，使用者在存取其他軟體服務時便可以不用再跑一次登入的流程來進行身份彥驗證，可以直接存取軟體。

HENNGE One 所提供的價值在於，它在單一登入（SSO）的功能之上提供了一套的安全的存取控管機制。先前當大部分的員工都會前往公司上班時，針對 IP 位址進行的存取控制是相當普遍的，限制員工只能透過公司的 IP 網域來存取資料。若有些員工，像是公司的業務同仁，經常有在公司外部辦公的需求，系統的管理者便可以建立一個存取群組開放這些特定的員工從公司外部存取資料。

然而隨著遠距辦公的逐漸普及，越來越多人開始在公司外部辦公，透過公司 IP 位址來限制不當存取也變得相對困難。在這樣的情況下就是我們向大家介紹 HENNGE 裝置憑證的時機。

裝置憑證是什麼？

HENNGE 裝置憑證是利用數位憑證讓使用者進行身份驗證的一個功能。透過這個功能，HENNGE One 的使用者就可以透過終端的數位憑證登入存取不同的 SaaS／雲端服務。當要使用這項功能時，使用者會需要安裝一個數位的憑證到自己的裝置上。但這個流程可以透過 HENNGE One 輕易地完成。

HENNGE 裝置憑證最主要可以達到的是只開放有在裝置上安裝有效數位憑證的使用者來登入系統。而數位憑證登入與密碼登入相較之下的優點在於：

1. 使用者可以省去記住帳號密碼的麻煩
2. 管理者不需要擔心使用者所設定的密碼強度太弱
3. 使用者可以省去登入時輸入密碼的步驟
4. 管理者可以設定一個登入時效來強制使用者定時更新裝置憑證

數位憑證是一套不容易被他人複製的一長串的隨機代碼，來確保登入時的安全性。另外由於在登入的過程中使用者也不需一一的回想並輸入密碼，在登入 SaaS 或者雲端平台的過程中也會變得更加的流暢且有效率。

HENNGE Lock 如何簡化登入過程？

若公司有在使用多重因素驗證並且需要經過一次性密碼（OTP）來登入的話，使用者就還是得手動輸入其行動裝置上收到的或是自動生成的一次性密碼。 雖然一次性密碼可能只有六位數字，但每次登入都要輸入這些數字還是挺麻煩的。

HENNGE Lock 是在 HENNGE One 上建立多重因素驗證的的手機 APP。當使用者使用 HENNGE Lock 搭配 HENNGE One，HENNGE One 就會傳送一個推播通知（push notification）到使用者的行動裝置上詢問是否要批准這個登入。一但使用者點下了許可的按鈕，這個批准的資訊將會被送回 HENNGE One 的系統，HENNGE One 就會繼續處理登入流程。這樣的驗證方式被稱為推播驗證（push authentication）。

達成無密碼一鍵登入

一旦 HENNGE 裝置憑證安裝到像是公司提供的電腦這樣的裝置上面，並且使用者的行動裝置同時也安裝了 HENNGE One，從這一刻開始，登入 SaaS 以及雲端服務的過程只需要輕輕地按兩下就可以了。第一下是按下行動裝置上跳出來的登入通知，接著再次按下許可，就批准登入了。雖說這是再簡單不過的動作，但在登入流程中系統所利用的裝置憑證驗證方式，反而比利用帳號密碼驗證身份來得安全許多。另外，使用推播通知的同時也達到了多重因素驗證的效果。

除此之外，以下要說明的是這個功能最令我興奮的地方。HENNGE Lock 的 iOS 版本是可以在 Apple Watch 上進行操作的。當我允許 HENNGE Lock 寄送通知到我的 Apple Watch 上，我的手錶上會直接顯示許可的按鈕。因此當我在我的 Apple Watch 上使用 HENNGE Lock 時，甚至只需要一鍵就能登入我們公司所在使用的各式各樣的 SaaS／雲端服務。而且由於平常大部分的時間我的手錶都在我的手腕上，我不需要再到處尋找我的手機來登入，我只需要舉起我的手臂輕輕點擊就能登入了。而這就是讓我的登入經驗變得極其簡單的過程。最後，我也利用指紋辨識來登入公司所派發的筆電（MacBook Air），因此在工作時，我從來不需要手動地輸入密碼來完成任何的工作。

觀看影片說明