https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

化繁為簡的身分認證

2009 / 01 / 19
吳依恂
化繁為簡的身分認證

本次報導主要探討網路平台業者、使用者是否可以透過數位身分認證的一些機制的應用,來達到減少記憶多組帳號密碼造成資安風險的目的。

目前網路使用者面臨到一些使用網頁應用程式的問題,首先是必須記住不同網站的帳號密碼,又或者變成讓使用者只使用同一組帳號密碼,而且這也會助長釣魚網站的盛行,數位身分的認證方式或許可成為解決方案之一。而在台灣較具知名度的數位身份機制莫過於OpenID、Windows Card Space這2種,前者有網路服務公司Yahoo!奇摩的支援,後者則是內建在微軟的Windows Vista以及Windows Server 2008當中,兩者的架構或許看起來很類似,但在實際運作上卻有所不同。

主要應用於社群網站的OpenID
Yahoo!奇摩科技研發工程部資深經理簡西村提到,為了要服務既有的Yahoo!奇摩帳號使用者,減少他們必須要記憶多組帳號密碼的困擾,原本便有一套類似的數位身份認證機制BBAuth (Browser-Based Authentication),是Yahoo!奇摩自己提供的API,而由於一般網路使用者並不會輕易的信任在陌生網站上註冊資料並登入,透過登入Yahoo!奇摩的帳號來瀏覽網站也可增加使用者信任度,所以這套機制也很受到新創網站開發者的歡迎,例如說最近相當熱門的新興網站「地圖日記」。
簡西村說,OpenID也是化繁為簡的一種去中心化架構,而由於採取的是國際性標準,在本質、目的上與BBAuth是很相似的,且已在國外慢慢形成一個趨勢,全球將近有1萬個網站都支援OpenID的使用,因此Yahoo!奇摩也正在輔導BBAuth的用戶慢慢轉移至OpenID架構,簡西村說根據經驗從BBAuth轉移至OpenID機制,對使用者在使用上並沒有差異,而對網站開發者來說,大約花2~3禮拜的時間即可轉換完成,當然,Yahoo!奇摩也提供技術性的顧問服務,目前在台灣,支援OpenID的身分辨識服務提供者主要是Yahoo!奇摩,此外,還有Google的Blogger,前者需使用者另外提出申請,若使用者為mary,則會給出如https://me.yahoo.com/mary 或https://me.yahoo.com/亂數 的網址,後者則是直接使用該部落格網址,如http://mary.blogspot.com ,在blogger的管理後台上便可看見,可以用該網址當作帳號在各支援網站上使用,所以若你打算在某網站留言卻未經認證,它會轉到blogger要求你登入。
針對支援OpenID在台灣的服務提供者並不多,Yahoo!奇摩公共關係部資深經理黃明怡說,Yahoo!奇摩採取開放性的策略,因此本持這種精神服務既有會員以及新創網站開發者,讓使用者能夠利用單一帳號密碼方便的上網,而不用記憶多組帳號密碼,她認為這也是一種國際趨勢,勢必台灣也會走向這一天。
簡西村提到,由於OpenID採取的是一種開放性的國際標準,在網路上都有免費的軟體套件可供下載,台灣Yahoo!奇摩的官方開發者社群(Yahoo! Developer Network)上也有各式各樣豐富的討論及工具分享,對於想要加入的網站開發者來說是相當便利簡易的。另外,在這個機制裡,目前與RP之間交換的資料,至多也僅會有6個欄位而已,而且都是非關機敏性的資料,這是因為Yahoo!奇摩的目的僅是想提供這些欄位用於社群交流而已,如果是更近一步的商務交易,並不是目前他們所想走的方向。
然而,依然有人質疑OpenID這種使用單一帳號登入方式的安全問題,如果身分辨識服務提供者不能嚴格把關安全防線,我們將帳號密碼託付給Yahoo!奇摩、Google保管,會不會到時候駭客也是一組帳號密碼便能通行各大網站?即使是跨網站的單一登入(Single Sign On)依然存在著,必須使用帳號、密碼登入的問題。OpenID聲援者則說,其實依照目前大家的習慣,往往也是使用同組帳號、密碼去登入許多網站,為每一個造訪的網站去設定一個獨一無二的密碼,簡直是不可能的事情。

新興網站經驗分享
地圖日記
地圖日記過去採用了Yahoo!奇摩的BBAuth,該機制可以讓使用者將Yahoo!奇摩帳號裡的資料,授權給地圖日記使用,
例如說可以透過E-mail裡的聯絡人資料,寄信邀請朋友前來網站等,而這類的運用後端機制主要是BBAuth,
但在一般的網站功能上,無須使用帳號資料的部份則使用OpenID的機制,Yahoo!奇摩目前支援的OpenID並沒有使用者資料的授權功能。
這一切的動作,使用者在前端平台上是感覺不出來的。地圖日記技術研發總監劉柏菁表示,OpenID在功能上是沒有問題的,
只是各網站接受度的問題而已,地圖日記自96年10月開站以來已有10幾萬的用戶,根據他們的觀察,
透過Yahoo!奇摩帳號進入網站使用的用戶就高達了6成,啟用之初更是顯見流量迅速增長。
她認為,凡是需要另外申請帳號密碼,進行登入之後才能使用的網站功能,通常都會造成使用者卻步,
但是由於台灣民眾近九成以上都有Yahoo!奇摩帳號,這的確為新興網站帶來不少的助益。

Digwow好康哇哇挖
「Digwow好康哇哇挖」是一個提供好康訊息的新興書籤網站,目前網站上的登入服務裡可以選擇傳統的註冊登入方式,或是Yahoo!奇摩所提供的OpenID服務。Digwow好康挖挖哇網站執行長謝朋芳說,導入OpenID時程大約是3個禮拜左右,對新興網站來說,可以使用OpenID帳戶登入的確有助於迅速提升網站人氣,且基於網友對知名度夠、大流量的網站信賴度高,也提升網友到該網站互動的瀏覽率,Digwow好康挖挖哇網站技術長謝宗翰則說,這次的導入只花了1個人力,而且基於都是標準規格,在設備、系統平台上並不需要特別建置,也只要參照規格照著步驟做即可,進入門檻也不高。他說,Yahoo!奇摩目前還沒有提供社群交流所需的資料欄位,現階段僅是單純進行身分的認證而已,但未來新的版本有可能會將在篩選過後,選擇部份網站、開放部分欄位的存取。


偏向商務運用的Windows Card Space
Windows Card Space則是一種存在於Microsoft平台上的身份識別選擇器,以卡片的形式呈現使用者的數位身份,使用者可以使用不同的個人資料卡片,從身分提供者(IP, Identity Provider)取得token,在使用者確認之後,再送交給信賴憑證者(RP, Relying Party)。若以線上交易來說,使用者便是購物的消費者,IP則是發卡的金融單位,而RP則是電子商務業者。
台灣微軟前端平台事業部產品行銷經理賴建宇表示,前端與後端必須整合才能算是一個有效運用的流程,他指出,使用者可在Windows Vista內建的Windows Card Space上管理自己的資料,而如銀行金融單位、線上購物業者以及必須頒發身份憑證的政府單位,只要使用微軟釋出的軟體開發套件(SDK, Software Development Kit),就可運用Windows Server 2008工具來提供身分認證,其實是很類似的,只是前後端的差異而已。整套流程當然也包括與各RP業者的整合,他表示,過去由於各單位已有既定的加密認證機制,因此在過去推行的一年來,基於成本考量大家會選擇暫時觀望,不過現階段已開始有不少的銀行、線上購物業者也開始參與整個流程的測試,並且考量是否應用微軟的這套數位身份驗證機制。
賴建宇認為,Windows Card Space是採取系統平台運作的方式,來達到數位身份認證的目的,而不是將個人資料交付在他人手上,且是採圖像加密方式,與OpenID的加密方式不同,更為嚴謹。不過當然也有人質疑,當Client端電腦被入侵,或離開時忘記登出,不也是一機通關,犯罪者通行無阻?賴建宇說,雖是如此,但重要的是電腦的權限問題,在Windows Vista之後加入的使用者帳戶控制(UAC)概念是掌控安全的重要利器,雖然對一般用戶來說相當麻煩,但以他的經驗來看,有些企業是會將該功能以使用原則套用全公司,過去的電腦對使用者權限的設定過於模糊,沒有將權限劃分清楚,所以容易造成安全性的問題,在UAC的控管之下,所有要寫入核心(kernel)的動作都需要有Token才能執行,他認為,透過權限的控管能夠大幅提高電腦的安全性。


結論
有些網路平台業者或軟體公司,甚至會同時聲援這些類似競爭對手的不同機制,例如Google或微軟,無論是出於商業考量或開發策略,能夠有不同的數位身分認證機制可供網路使用者、開發者所選擇,總是突破現有網路安全問題的一種解決方式,或許未來的某一天,我們就可以不用再想盡辦法在自己的名字後加一堆數字、取些莫名奇妙的密碼,然後再將它們都抄在小小的筆記本裡。