你能想像不用輸入任何密碼的網路世界嗎?在申請帳號時,只要透過人臉辨識等先進技術,就能迅速完成註冊,人們無需再擔心忘記密碼,不用害怕密碼落入駭客之手,甚至能避免釣魚網站的威脅——這,就是無密碼時代!
在現今的數位時代中,傳統密碼雖然普遍被採用,但是被盜用、忘記密碼、多平台重複密碼等問題層出不窮,不僅使用上有諸多不便,安全漏洞更是一直無法解決的痛點。在這樣的背景下,FIDO(Fast Identity Online)應運而生,本篇文章將帶您深入了解什麼是 FIDO?以及它在資訊安全保護領域中如何扮演著關鍵角色?
什麼是 FIDO 認證?
在深入了解什麼是 FIDO 之前,必須先認識 FIDO 聯盟(Fast Identity Online Alliance)。它是一個成立於 2013 年的非營利組織,致力於推動和加速全球範圍內的身分驗證標準,旨在減少對傳統密碼的依賴,提升網路身分驗證的安全性和便利性。FIDO 聯盟是由多家技術公司、網路服務提供商、以及裝置製造商共同組成的,包括 Google、Microsoft、Apple、Amazon 等科技巨頭都是 FIDO 聯盟的成員。
事實上,FIDO(Fast Identity Online)並不是一個產品,而是由 FIDO 聯盟訂定的一套網路身分識別標準,包括 UAF(Universal Authentication Framework)、U2F(Universal 2nd Factor)、以及 FIDO2,其中 FIDO2 是最新的標準,包括 WebAuthn(Web Authentication)和 CTAP(Client to Authenticator Protocol)。
FIDO 認證如何提升網路身分識別的安全性與便利性?
FIDO 標準的核心在於提供安全性高且使用方便的驗證方式,透過採用公私鑰方式及生物辨識技術、實體安全金鑰等方法,降低身分或密碼被盜取或仿冒的風險,從而顯著強化數位身分的安全性。
一、公私鑰加密驗證
在 FIDO 標準的架構中,驗證三大要素包含:FIDO 用戶端、FIDO 伺服器端、和驗證器(Authenticator)。使用者所建立的身分資料是加密儲存在硬體裝置端,而非存放於網路伺服器當中,並且搭配驗證器(如手機)完成身分驗證。當伺服器上只保存了公鑰而不保存私鑰或密碼,風險便是在裝置端而非集中於伺服器端,如此一來,駭客若要針對使用者裝置一個個進行入侵,難度將大幅提升。另一方面,用戶的身分資訊不必在每次驗證時透過網路傳送,近一步降低了資料被攔截或竊取的風險。
二、結合生物特徵辨識
近年來,許多應用服務會以「生物特徵」取代傳統密碼,使用者可透過指紋辨識、人臉辨識、虹膜辨識等方法進行身分識別。由於這些生物特徵具獨特性且難以被複製,大幅降低被盜取或仿冒的風險,同時也消除了記憶與輸入密碼的麻煩,有效提升使用者方便性和安全性。然而,由於每台裝置在生物辨識強度並不一致,例如指紋辨識容易被破解、人臉辨識不精確等,因此 2018 年 FIDO 聯盟推出了生物辨識驗證標準。
FIDO 生物辨識驗證標準是目前唯一一個公認的活體辨識標準,在這之前,即便生物辨識已逐漸成為趨勢,但解決方案及產品在性能上的準確性和可靠性仍然存有疑慮。FIDO 推出此計畫是為了滿足市場對於標準的需求,利用經過認證的獨立實驗室來進行活體辨識和偽冒攻擊(Presentation Attack Detection, PAD) 檢測,確認供應商是否適合作為商業用途。
目前生物辨識驗證標準在檢測上分成四項類別:指紋、聲音、人臉和虹膜。有了公認的標準後,使用者在選擇產品服務時能更有依據,驗證服務的供應商也能更直接地展示產品性能而不需反覆證明,節省不少時間和成本。
FIDO 三大身分認證協議:UAF、U2F、FIDO2
在 2014 年,FIDO 聯盟推出了 FIDO 1.0 標準,包含通用認證框架(Universal Authentication Framework,UAF),以及通用第二因素框架(Universal Second Framework,U2F)。而在 2018 年推出 FIDO2 後,獲得了 W3C 和 ITU 等國際標準組織接納,使無密碼身分認證的理念進一步獲得國際認可,成為推動技術應用的關鍵力量。以下將針對三個技術標準進行介紹:
UAF (Universal Authentication Framework)
UAF 協議推動了無密碼身分認證的概念,它允許使用者透過如生物辨識(指紋、人臉、聲音辨識)、PIN碼、圖形鎖等認證方法進行多因素驗證。使用者在註冊帳戶時,可於應用服務中註冊一個裝置,並指定一種本機認證的方式,如指紋、臉部辨識、語音識別、輸入PIN碼等。每當用戶想要登錄 UAF 服務時,不需輸入密碼,只需要重複他們先前在註冊時的認證方式,即可快速登入。
這種方式免去了密碼的需求,讓使用者體驗更為便捷,同時提升了安全性。許多網路銀行等金融機構已經將 UAF 技術應用於 App 的登入頁面,使安全性更升級。
U2F (Universal 2nd Factor)
U2F 協議將物理安全密鑰作為雙因素認證(2FA)的一部分,提供了除了密碼之外的物理認證手段,以強化身分認證安全性。
U2F 密鑰在過往通常透過 USB 連接到電腦,而此時的 USB 就是 FIDO 架構中的驗證器(Authenticator)。目前在實體安全金鑰上的應用進步許多,企業也有採用近距離無線通訊 (NFC)和藍牙低功耗 (BLE) 的方式進行驗證,在 FIDO2 出現後,手機也能作為實體安全金鑰。實體安全金鑰也能進一步與指紋辨識模組結合,更精準確認使用者是否為本人。目前許多使用雲端服務大廠都會使用 U2F 方式進行認證,如Dropbox、Facebook、GitHub、Google 等。
U2F 及 UAF 的目的都是提升驗證安全,但它們目標卻有些微差異。FIDO 聯盟推動無密碼主要有兩個訴求:第一是完全消除密碼,然而密碼在現實中仍無法在短時間內被淘汰;第二則是在與密碼共存的情況下,強化密碼安全。因此,UAF 提供了無需密碼即可登入的方法,U2F 則採用雙因素認證,透過增加物理裝置作為第二道防線,大幅提升安全性,也能有效防止釣魚攻擊等個資外洩問題。
FIDO2
FIDO2 是最新的認證協議,它結合了 WebAuthn(Web Authentication)和 CTAP(Client to Authenticator Protocol)兩大核心技術標準,讓所有 Web 應用也能遵循統一標準並簡化開發,透過瀏覽器與Web應用拓展應用範圍,使推動無密碼登入的影響力更為擴大。
WebAuthn 定義了標準化的 Web API,允許在網頁應用中直接進行無密碼或雙因素身分驗證,讓網路服務也能使用 FIDO 驗證。目前 Google Chrome、微軟 Edge 與 Mozilla Firefox 和 Apple Safari 皆能支援 FIDO2 身分驗證規格。
CTAP 則讓外部認證設備(如手機或其他安全鑰匙)能搭配 WebAuthn 網頁進行交互應用,以作為桌面應用程式或網路服務的身分驗證器,其中又因架構區分為 CTAP1 和 CTAP2。
- CTAP1 基本上是 U2F 協議的延伸,它允許物理安全鑰匙透過 USB、NFC、或藍芽等連接方式,與使用者端的裝置交互並完成身分驗證,以實現雙因素認證。
- CTAP2 則是 CTAP 協議的進階版本,進一步支援更多元的認證器及更靈活的認證機制,例如生物辨識、PIN碼、身分驗證器等認證方法,皆可以作為身分驗證第一個和第二個因素,使驗證架構更寬鬆,從而實現無密碼認證或增強的雙因素認證。
FIDO2 的推出使得無密碼認證變得更加普及和便捷,可支援各種瀏覽器和網路服務平台,使用者也能透過多種方式進行認證,例如考量到現代人手機不離身的特性,手機便是一個非常便利又安全的實體驗證器,進而促使無密碼或雙因素認證更廣泛地被接受和使用,強化整體的網路安全。
FIDO 認證技術在產業中的應用
FIDO (Fast Identity Online) 認證技術已在多個產業領域中得到廣泛應用,特別是在金融、電子商務、政府等不同產業中。隨著數位安全需求的日益增長,這種 FIDO 的重要性和實用性日益凸顯。
- 銀行帳戶:近年越來越多金融機構導入「金融 FIDO 」,使用者將實體晶片金融卡綁定行動裝置,並透過生物辨識註冊指紋、人臉等生物特徵後,未來登入使用金融服務時,只要透過手機搭配生物辨識進行身分驗證,就無需再設定或輸入一組帳號密碼,消除了忘記密碼的麻煩,以及密碼外洩的風險。
- 線上交易:網路購物盛行,盜刷事件卻層出不窮,以往於線上刷卡後,需輸入一次性 OTP 動態密碼進行驗證。然而,在密碼傳送或輸入的過程中,可能遭詐騙集團攔截,或是誤輸入於釣魚網站而遭竊取,導致盜刷得逞。若持卡人在國外,更常因無法收到 OTP 動態密碼,以致線上交易無法完成,引發諸多不便。若改以 FIDO 驗證方式,可直接透過事先綁定的裝置 App 進行生物特徵辨識,驗證通過後即可完成交易,即便人在國外網購刷卡也沒問題,提升信用卡交易安全外,也能提供消費者快速又便利的購物體驗。
- 政府部門:過往如需要繳費、納稅時,民眾需要拿著紙本繳費單親赴各機構進行繳納,而隨著數位轉型趨勢,當政府將 FIDO 導入線上服務平台,民眾只要事先完成註冊、綁定手機、通過生物特徵辨識及身分識別後,未來只要透過指紋或人臉辨識,就能快速申辦平台中的各項政府業務,而不必經歷準備讀卡機、輸入帳號密碼等麻煩,兼顧安全性與隱私,同時提升大幅提升了政府服務的可接近性。
關於 Authme
Authme 身為 FIDO 聯盟會員之一,並且代表台灣加入 FIDO 聯盟 Identity Verification and Binding Working Group (IDWG) 國際工作小組,與 Google、Microsoft、Amazon 等業界巨擘共同進行討論,針對不同身分驗證議題討論後,以最終討論結果制定規範,各個企業進行落地實作。
Authme 自成立以來便致力於提供安全、便利、有效率的 AI 身分驗證解決方案,此外,Authme 也提供各項符合 FIDO 驗證架構的抗網路釣魚 MFA、無密碼登入解決方案,結合通過 ISO-30107 認證的被動活體檢測技術,並且支援橫跨多個裝置,有效提升使用者體驗、增強安全性,打造流暢、無斷點的登入體驗,期望能協助推動 FIDO 無密碼願景,打造更安全的網路環境與數位身分生態圈。
