FIDO 是什麼?無密碼時代的來臨
September 14, 2021
在如今的網路世代,人人都有許多線上帳號。而隨著帳號盜用事件的層出不窮,各界也開始對資安日趨重視,傳統以帳號密碼驗證身份的方式已不再是科技巨擘們眼裡最安全可靠的登入途徑了。就在網路日漸發達、雲端軟體服務四起以及科技日新月異的背景之下,造就了新世代的網路識別標準 FIDO(Fast Identity Online)的問世。然而 FIDO 究竟是什麼?它的特別之處在哪裡?無密碼驗證又意味著什麼?以下就帶您一同來了解。
FIDO 是什麼?
FIDO 是指由同名的非營利組織 FIDO 聯盟所訂定的一套網路識別標準,意在確保登入流程中伺服器及終端裝置協定的安全性。而這套識別標準透過公開金鑰加密(Public Key Cryptography)的架構進行多重因素驗證(MFA)以及生物辨識登入來強力且嚴密地保護雲端帳號的個資。
FIDO 聯盟的起源
在深入了解 FIDO 之前,先讓我們來淺談 FIDO 聯盟的起源吧!根據 FIDO 官網以及 SearchSecurity 文章當中的記載,FIDO 聯盟的成立要追溯到 2007 年,現今全球知名的第三方支付平台 PayPal 當年正為了軟體資安的把關,致力於推行一次性密碼(OTP)給其用戶。然而由於當時民眾普遍對於資安意識的薄弱,OTP 的採用率在當時並不高。而後在 2009 年,研發指紋辨識的維立科技(Validity Sensors)向 PayPal 探討以指紋辨識的科技來登入服務的想法及可能性,這也激發出了兩家公司認為業界需重視資安議題,訂定一套更嚴密的身份識別標準的資安意識。於是 FIDO 聯盟便於 2012 年成立了,成員公司 PayPal、Lenovo、Validity Sensors 等科技巨擘攜手引領了無密碼登入的創新思維,隨後也陸續吸引了 Google、微軟、NTT 等知名科技公司加入,成員總數也在 2016 年超過了 260 家公司,並且持續秉持著三大原則:便於使用(ease of use)、隱私安全(privacy and security)以及標準化(standardaization)。
FIDO 為什麼比較安全?
FIDO 所提倡的標準究竟特別之處為何?如何能使它較傳統的登入方式安全呢?其最大的特色在於 FIDO 所有的協定都是建立於公開金鑰加密(Public Key Cryptography)之上,這樣的架構也能使「伺服器端將不再保管祕密」。在傳統密碼的驗證架構中,使用者的終端裝置與伺服器之間互相都知道帳號與密碼,或是以密碼產生的雜湊函式來驗證。另一方面,FIDO 則是採用公開金鑰基礎架構的驗證模式,在 FIDO 認證伺服器端(FIDO Authentication Server)只保存相對應的公鑰,而私鑰則僅保存在使用者的裝置端,因此使用者在登入時只需提供個資給終端裝置解鎖私鑰,再透過這個步驟解鎖公鑰進行登入。簡單來說,使用者的機密個資可以不再集中於雲端服務的伺服器上管理,而是採用分散式處理的方式將個資分別存放在使用者的終端裝置上,再透過公鑰及私鑰的架構來登入雲端服務。這麼一來,使用者的個資就不必被上傳到雲端,除了能有效保護資料,也能讓使用者在登入的過程中更放心。
而這樣的公開金鑰架構分別應用在 FIDO 的三大認證協議上,分別為 FIDO UAF、FIDO U2F 以及 FIDO2。根據 FIDO 的官網,以下為您做了簡單的摘要。
FIDO UAF
Universal Authentication Framework -- UAF 是指透過結合生物辨識等認證途徑,提供使用者順暢的無密碼登入體驗。透過安裝在裝置上的 FIDO UAF 堆疊(stack),使用者可以選擇在終端裝置上透過指紋辨識、聲音辨識、輸入個人識別碼 PIN 等方式進行線上登入,擺脫傳統輸入冗長密碼的流程。
FIDO U2F
Universal Second Factor -- U2F(在 FIDO2 頒佈後被歸納為 CTAP1)則是支援雙因素驗證。使用者除了輸入自己本身的帳號密碼外,必須另外再提供第二個驗證因素來證明自己的身份,而這些外加的第二因素包含了近距離無線通訊 NFC(Near Field Communication)、藍牙低功耗 BLE(Bluetooth Low Energy)感應,或是輕觸外觀像 USB 的安全金鑰硬體裝置,讓登入過程多一層把關及保護。
FIDO2
FIDO2 是三大認證協議當中最新的一條協議,是由全球資訊網協會(W3C)的網路驗證規格(Web Authentication,WebAuthn)以及 FIDO 的客戶端至驗證器協定(Client-to-Authenticator Protocols,CTAP)所共同組成的。其內容除了綜合無密碼登入以及雙因素驗證,它最大的特色在於結合了 WebAuthn 後對於各大瀏覽器的支援。FIDO Alliance 表示 WebAuthn 在 2019 年三月被指定為正式的網頁標準,目前除了支援 Windows 10 以及 Android 平台之外,也支援 Google Chrome、Mozilla Firefox、Microsoft Edge 以及 Apple Safari 等網頁瀏覽器。這樣的協議能讓使用者再更多的平台及裝置上透過 FIDO 標準進行身份驗證,拉開無密碼時代的序幕。
無密碼驗證的趨勢
近年來,隨著智慧型手機的普及以及各式軟體的進步,我們愈來愈仰賴透過網路上辦的帳號來完成生活上的大小事。以台灣的線上支付為例,根據金管會的調查,截至 2021 年四月台灣的電子支付使用人數已多達將近 1,315 萬人,和同年三月份的 1,282 萬人相比,僅在一個月內便多出了 33 萬人。不在話下,資訊外洩的風險也隨之攀升。而在愈來愈多人將自己這樣的機密個資託付給網路雲端系統的同時,傳統密碼登入的方式除了容易讓使用者搞混之外,也具有容易被駭客竊取的高風險。能夠透過最直覺又最安全的方式登入是我們該努力的方向。FIDO 識別標準的存在除了意義重大外,更具有新世代資安變革的象徵性。
喜歡這篇文章嗎?歡迎分享出去!