解決密碼安全性不足 FIDO挑戰身分認證的未來

在過去，如果想要購買日常用品，大概都需要走進實體店面，依照商品的價格，支付了等值的現金鈔票之後，才算是銀貨兩訖完成交易。但隨著塑膠貨幣如信用卡的出現，人們生活的交易習慣也突然改變，因為信用卡交易的好處是除了可以免除攜帶大量現鈔的不便，更可以避免現金遺失的風險。

從1980年代開始，電子貨幣也廣泛地受到矚目與運用，包括同樣以卡片形式存在的儲值卡和智慧卡，還有看不見的電子錢包和電子現金。在90年代之後，網際網路和電子商務的興起，讓線上交易變得更加地簡單，即使您人在家中坐，仍可隨心所欲的購買商品，然後要求送貨到指定的地點。

無論是塑膠和電子貨幣，這些都和個人的身分信用息息相關，尤其是在看不見也可能在任何地點的網路另一端，如何確認登入系統和完成付款的人，就是如其表示的真實身分使用者，成為了所有業者的一大挑戰。

身分認證的基本做法

關於如何識別身分，事實上並不困難，重點在於如何預防身分的偽冒，並且讓使用者能夠方便進行，目前，在資訊系統的身分認證方面，不外乎有以下三種方式。

1. 你知（Something you know）：這是最普遍也是幾乎所有系統都能使用的基本認證方式，透過使用者知道的帳號和密碼，經系統核對用戶資料庫之後，就能夠確認其身分是否合法，但是如果使用者設定的密碼過於簡單，或是經常使用同一組密碼來登入所有的網站，很容易就會遭到有心人士的破解。

2. 你有（Something you have）：這是可以透過使用者所持有的某項獨一無二的物品，進而確認其身分，最常見的像是身分證、提款卡、駕駛執照等，皆可當作使用者合法身分的憑據。

3. 你是（Something you are）：這是利用使用者本身所具有的生物特徴，例如指紋、視網膜、臉型及聲音等，就可以辦識其真實身分，也不用像以上兩者一樣，擔心會忘記了密碼，或是忘了攜帶特定的物品，導致無法證明自己就是合法使用者。

基本上，上述任何一種方式都可以當作身分識別之用，但是如果同時採用了兩種以上，其安全強度都會比使用單一方式來得更強，這也就是目前所謂的雙因素驗證方式。但美中不足的是只要其中之一採用了密碼，就有可能因為密碼強度不夠，而遭到破解或盜用。另外，再加上雙因素認證通常只支援特定的服務平台，如果使用者同時採用了多家網路和線上服務，可能就需要分別購買不同的憑證、OTP Token等硬體，造成使用與保管上的困擾。

什麼是FIDO聯盟

為了解決在線上服務方面，因為使用密碼而導致的安全風險，在前任PayPal安全主管Michael Barrett的主導之下，FIDO（Fast Identity Online）聯盟於2012年7月成立了，它的主要任務是為了解決現今單靠用戶帳號和密碼，在身分認證方面安全不足的問題，希望能夠改變目前線上身份認證的方式，提供線上交易更簡單、更安全且可互通的身份認證機制，讓使用者有朝一日能夠忘記需要使用密碼這件事。

FIDO聯盟提供了開放標準的身份認證機制(FIDO specifications)，定義了可用來進行使用者身分認證的共通介面，可以使用像是指紋等生物特徵、PIN碼，以及USB 和NFC等裝置，以強化線上服務和個人資料的安全。FIDO目前的成員包括了Google、聯想、微軟、三星、MasterCard、VISA、PayPal、NXP、CA、RSA等。

在技術方面，FIDO採用了公開金鑰的加密方式，區分為兩種主要運用的認證協定，以滿足不同服務和使用者的需求。第一種稱之為「通用認證框架(Universal Authentication Framework；UAF)」協定，可以啓用在支援FIDO的伺服器和網站，當使用者完成註冊之後，就可以選擇在本地端完成的身分認證，使用像是指紋、臉孔、聲音及PIN碼等方式來完成身分認證並登入網站。

第二種則是「通用第二因素(Universal Second Factor；U2F)協定」，透過支援的網路服務供應商、瀏覽器及作業系統，可以讓網站使用較短的密碼(4位數)，並使用像是可觸控的USB裝置、支持NFC功能的智慧型手機，作為第二項用來進行身分認證的工具，藉此確認使用者的真實身分，這也是目前Google大力支持的身分認證方式。

FIDO的實務應用

FIDO所採用的是標準的協定，不需要特定的軟體或私有的程式介面才能夠運作，這種做法可以降低網站業者的營運成本，並且能夠以一組裝置，即可適用於所有支援FIDO的網站和線上服務。

目前，基於FIDO的標準，Google已和恩智浦(NXP)展開了NFC安全晶片結合密碼的技術合作案，而三星最新的智慧型手機Galaxy S5所搭載的指紋辨識功能，已率先支援了FIDO的應用，可以直接用來作為PayPal的線上支付，也是市場上已經銷售的消費性電子產品，實現了手機上只要利用指紋感測器，就可以用來做為線上服務的身分認證之用。

此外，Yubico所提供支援U2F的USB裝置，也可以提供一般大眾作為網站服務的身分認證之用，透過不需要額外安全驅動程式的USB介面，在插入電腦並輕輕觸碰之後，就可以協助使用者完成身分認證。而對於行動裝置的使用者來說，也只要透過支援NFC功能的智慧型手機，在互相接近感應之後，即可快速完成身分認證。


FIDO的未來發展

在2013年，由Google安全副總裁Eric Grosse與工程師Mayank Upadhyay所完成的研究報告指出，使用傳統的密碼和簡單可移轉的cookie，已經無法妥善保護使用者的安全，因此他們希望透過小型單一的USB裝置，取代密碼的輸入來作為使用網站服務的身分認證之用。

FIDO的目標是想要解決目前使用者需要記憶太多的密碼，尤其是許多人會使用同一組密碼走天下，也就產生了安全上的弱點，容易受到惡意人士所盜用。而FIDO的優勢更在於不需要送出用來認證使用者身分的密碼，它所用來作為身分認證的資訊，都是由使用者持有的小裝置來進行運算加密後，傳送給登入的網站伺服器，換句話說，也就不需要將身分資訊提供給網站經營者，降低了外洩的風險。

不過，目前FIDO面臨的問題是可支援的線上服務還不普及，如何讓更多用戶端設備支援，讓使用者能夠更易於使用，將是未來努力的目標。另外，基礎設施的不夠完整也是需要克服的問題，依據FIDO的要求，所有獲得FIDO認可的設備(FIDO-ready)，都必須經過一連串的測試，符合了UAF或U2F的規範之後才能通過，可惜目前仍只有少數的產品已獲得認可，如果未來有更多的行動裝置能夠支援，勢必將會掀起另一片應用熱潮。