https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

解決密碼安全性不足 FIDO挑戰身分認證的未來

2014 / 06 / 06
花俊傑
解決密碼安全性不足  FIDO挑戰身分認證的未來
在過去,如果想要購買日常用品,大概都需要走進實體店面,依照商品的價格,支付了等值的現金鈔票之後,才算是銀貨兩訖完成交易。但隨著塑膠貨幣如信用卡的出現,人們生活的交易習慣也突然改變,因為信用卡交易的好處是除了可以免除攜帶大量現鈔的不便,更可以避免現金遺失的風險。

從1980年代開始,電子貨幣也廣泛地受到矚目與運用,包括同樣以卡片形式存在的儲值卡和智慧卡,還有看不見的電子錢包和電子現金。在90年代之後,網際網路和電子商務的興起,讓線上交易變得更加地簡單,即使您人在家中坐,仍可隨心所欲的購買商品,然後要求送貨到指定的地點。

無論是塑膠和電子貨幣,這些都和個人的身分信用息息相關,尤其是在看不見也可能在任何地點的網路另一端,如何確認登入系統和完成付款的人,就是如其表示的真實身分使用者,成為了所有業者的一大挑戰。

身分認證的基本做法

關於如何識別身分,事實上並不困難,重點在於如何預防身分的偽冒,並且讓使用者能夠方便進行,目前,在資訊系統的身分認證方面,不外乎有以下三種方式。

1. 你知(Something you know):這是最普遍也是幾乎所有系統都能使用的基本認證方式,透過使用者知道的帳號和密碼,經系統核對用戶資料庫之後,就能夠確認其身分是否合法,但是如果使用者設定的密碼過於簡單,或是經常使用同一組密碼來登入所有的網站,很容易就會遭到有心人士的破解。

2. 你有(Something you have):這是可以透過使用者所持有的某項獨一無二的物品,進而確認其身分,最常見的像是身分證、提款卡、駕駛執照等,皆可當作使用者合法身分的憑據。

3. 你是(Something you are):這是利用使用者本身所具有的生物特徴,例如指紋、視網膜、臉型及聲音等,就可以辦識其真實身分,也不用像以上兩者一樣,擔心會忘記了密碼,或是忘了攜帶特定的物品,導致無法證明自己就是合法使用者。

基本上,上述任何一種方式都可以當作身分識別之用,但是如果同時採用了兩種以上,其安全強度都會比使用單一方式來得更強,這也就是目前所謂的雙因素驗證方式。但美中不足的是只要其中之一採用了密碼,就有可能因為密碼強度不夠,而遭到破解或盜用。另外,再加上雙因素認證通常只支援特定的服務平台,如果使用者同時採用了多家網路和線上服務,可能就需要分別購買不同的憑證、OTP Token等硬體,造成使用與保管上的困擾。

什麼是FIDO聯盟

為了解決在線上服務方面,因為使用密碼而導致的安全風險,在前任PayPal安全主管Michael Barrett的主導之下,FIDO(Fast Identity Online)聯盟於2012年7月成立了,它的主要任務是為了解決現今單靠用戶帳號和密碼,在身分認證方面安全不足的問題,希望能夠改變目前線上身份認證的方式,提供線上交易更簡單、更安全且可互通的身份認證機制,讓使用者有朝一日能夠忘記需要使用密碼這件事。

FIDO聯盟提供了開放標準的身份認證機制(FIDO specifications),定義了可用來進行使用者身分認證的共通介面,可以使用像是指紋等生物特徵、PIN碼,以及USB 和NFC等裝置,以強化線上服務和個人資料的安全。FIDO目前的成員包括了Google、聯想、微軟、三星、MasterCard、VISA、PayPal、NXP、CA、RSA等。

在技術方面,FIDO採用了公開金鑰的加密方式,區分為兩種主要運用的認證協定,以滿足不同服務和使用者的需求。第一種稱之為「通用認證框架(Universal Authentication Framework;UAF)」協定,可以啓用在支援FIDO的伺服器和網站,當使用者完成註冊之後,就可以選擇在本地端完成的身分認證,使用像是指紋、臉孔、聲音及PIN碼等方式來完成身分認證並登入網站。

第二種則是「通用第二因素(Universal Second Factor;U2F)協定」,透過支援的網路服務供應商、瀏覽器及作業系統,可以讓網站使用較短的密碼(4位數),並使用像是可觸控的USB裝置、支持NFC功能的智慧型手機,作為第二項用來進行身分認證的工具,藉此確認使用者的真實身分,這也是目前Google大力支持的身分認證方式。

FIDO的實務應用

FIDO所採用的是標準的協定,不需要特定的軟體或私有的程式介面才能夠運作,這種做法可以降低網站業者的營運成本,並且能夠以一組裝置,即可適用於所有支援FIDO的網站和線上服務。

目前,基於FIDO的標準,Google已和恩智浦(NXP)展開了NFC安全晶片結合密碼的技術合作案,而三星最新的智慧型手機Galaxy S5所搭載的指紋辨識功能,已率先支援了FIDO的應用,可以直接用來作為PayPal的線上支付,也是市場上已經銷售的消費性電子產品,實現了手機上只要利用指紋感測器,就可以用來做為線上服務的身分認證之用。

此外,Yubico所提供支援U2F的USB裝置,也可以提供一般大眾作為網站服務的身分認證之用,透過不需要額外安全驅動程式的USB介面,在插入電腦並輕輕觸碰之後,就可以協助使用者完成身分認證。而對於行動裝置的使用者來說,也只要透過支援NFC功能的智慧型手機,在互相接近感應之後,即可快速完成身分認證。


FIDO的未來發展

在2013年,由Google安全副總裁Eric Grosse與工程師Mayank Upadhyay所完成的研究報告指出,使用傳統的密碼和簡單可移轉的cookie,已經無法妥善保護使用者的安全,因此他們希望透過小型單一的USB裝置,取代密碼的輸入來作為使用網站服務的身分認證之用。

FIDO的目標是想要解決目前使用者需要記憶太多的密碼,尤其是許多人會使用同一組密碼走天下,也就產生了安全上的弱點,容易受到惡意人士所盜用。而FIDO的優勢更在於不需要送出用來認證使用者身分的密碼,它所用來作為身分認證的資訊,都是由使用者持有的小裝置來進行運算加密後,傳送給登入的網站伺服器,換句話說,也就不需要將身分資訊提供給網站經營者,降低了外洩的風險。

不過,目前FIDO面臨的問題是可支援的線上服務還不普及,如何讓更多用戶端設備支援,讓使用者能夠更易於使用,將是未來努力的目標。另外,基礎設施的不夠完整也是需要克服的問題,依據FIDO的要求,所有獲得FIDO認可的設備(FIDO-ready),都必須經過一連串的測試,符合了UAF或U2F的規範之後才能通過,可惜目前仍只有少數的產品已獲得認可,如果未來有更多的行動裝置能夠支援,勢必將會掀起另一片應用熱潮。