資安趨勢:無密碼驗證

資安議題:無密碼驗證

密碼早在遠古時期就已被發明,被使用在貿易、契約之類各式各樣的場所用來身分識別、資訊傳遞等等。隨著科技不斷進步,為了更好的保護資料,密碼也從不規則的符號逐步轉換到現在常見的由英文、數字、符號組合而成的複雜字串,應用到的領域也越來越廣泛,甚至還發展了由個人生物特徵作為密碼的方式,諸多的措施只為了讓使用者在享受各項服務時,能夠不必擔心個資安全問題。

對網路世代的族群來說,每次嘗試新的網路服務時,免不了一定有註冊服務、設置帳號密碼的環節,為了更好保護使用者,服務提供方通常會對密碼進行各種限制:包含至少加入一個大寫字母、符號或者是要求密碼長度達幾位數等等,雖用意良好,密碼的安全性獲得提升,但長期累積下來,密碼的數量大、複雜度又高,使用者自己還常常會忘記或遺失密碼,每次要登入就必須按下忘記密碼按鈕,再次回到設置複雜的密碼循環,讓人感到困擾,同時根據FIDO聯盟的資料顯示,平均單次密碼重置的客服成本高達 70 美元,造成企業淺在的龐大成本支出。

這邊可以發現到傳統密碼雖然具有一定的保護功能,但單一的密碼容易被破解引發資訊安全的疑慮,於是會要求使用者設置越複雜的密碼來避免引發安全問題,導致使用上又很不便。
怎麼在安全及便利性間取得平衡,是面向使用者體驗值得思考的資安議題,為了解決這個議題多重要素驗證(MFA)雙因素認證(2FA)的需求被提出且開始被廣泛的應用中。

何謂多重要素驗證

如果一道門鎖不住,那就裝第二道門加強防護,或是銀行開戶時,行員會要求出示雙證件證明是本人進行辦理,使用兩種不同的要素混合來確認使用者身分,這些就是多重要素驗證的觀念。在Techtarget的文章中列出了常見的身分驗證要素:

  • 知識:指使用者”知道”的東西,如密碼、PIN碼或其他類型的共享秘密。
  • 所有權:指使用者”擁有”的實體物品東西,如身份證、手機、移動裝置或APP應用,以這些實體物品來批准身分驗證的請求。
  • 固有:常見的名稱是生物識別要素,指使用者物理上自有的身體特徵,如指紋、臉部和語音特徵。除了生理特徵以外同時還包括行為特徵,如使用裝置的按鍵順序、使用者的走路模式等等。
  • 位置:通常是指驗證嘗試進行認證的位置,通過限制特定設備的驗證需在特定位置來執行,更為常見的是,通過互聯網協議(IP)地址或其他一些地理定位信息驗證,如:來自使用者移動電話或其他設備的全球定位系統(GPS)資料,來認證嘗試驗證的地理來源。
  • 時間:將使用者的認證限制在特定時間進行登錄,並限制該時間之外的系統訪問。

多重要素驗證便是以使用者設置的密碼,再搭配不同的認證要素,達到多重保護效果來確保個資安全。但是多重要素驗證也不保證資料非常安全,舉例來說:使用信用卡在網路購物常使用簡訊一次性密碼(OTP)來驗證刷卡者的身分,就是一種基於知識要素的驗證方式,有驗證需求時,服務提供商通常會發送一個隨機的6位數到使用者的手機上,理論上只有擁有手機號碼的使用者才能通過驗證,雖然這是個看起來安全的機制,卻存在駭客透過中途攔截簡訊或在使用者手機上安裝惡意軟體的方式,將收到的驗證碼簡訊轉發到自己的手機上破解 OTP 的案件。
因此早在2016年起,美國國家標準與技術研究院(NIST)發布的數位身分認證指南就不再認可簡訊驗證碼作為安全認證的方式,同時也建議企業不要再透過手機簡訊或電話語音來執行二次驗證,這樣並無法避免個資安全的威脅。甚至,假設未來量子電腦一經普及,公鑰密碼系統的也不再保證絕對安全。

認識更全面的身分識別方案:無密碼驗證

無密碼驗證

這樣看起來身分識別的安全問題似乎無從解決,只能依靠一層又一層的密碼去保護,徒增使用者的負擔。
此時若是換個方向去思考,密碼之所以會被破解在於它仍然是一種訊息的傳遞,只要有傳遞的過程,就會有被破解的風險,如果讓密碼不存在傳遞的過程如何呢?

這個想法的解決方案就是:無密碼驗證,也是最近在身分識別的熱門資安議題。文章看到這邊或許會產生疑問:使用一個或兩個密碼都會被盜竊了,那無密碼不就是代表把資料大大方方地展露給其他人看嗎?
實際上,無密碼並非是不使用任何密碼,無密碼驗證真正的概念是讓密碼不存在傳遞的過程,把使用者的密碼變成讓網路上的人更不容易破解也不容易取得的方式,實現這個概念的方法就是利用使用者身邊的實體裝置去驗證,將密碼存放於裝置內而非網路伺服器當中,密碼的形式可以是英數混合也可以是生物特徵如指紋或者臉部識別,或許還有人覺得這仍然很不方便,等於要多帶一個裝置在身上,但以現在智慧型裝置這麼普及的現代,無密碼的實現也並非不可能。

偉康科技,資安技術解決方案

新世代數位身分識別:FIDO

當利用搜尋引擎檢索 “無密碼驗證” 時,另一個關鍵字”FIDO”會同步出現,很多人會對這兩個關鍵字的結合感到困惑,實際上並非沒有道理,因為無密碼驗證是一個概念,而FIDO則是落地運用這個概念的一個方式。
FIDO的全名是Fast IDentity Online,可以翻作:線上快速身份識別。與其說FIDO是某款產品,更準確的說FIDO是一個業界標準,當一個解決方案被掛上FIDO驗證的名字時,代表其無密碼驗證解決方案通過嚴格的安全性,互操作性可擴展性測試,而這邊要注意的是宣稱 “支持FIDO”的解決方案則不一定符合FIDO驗證。
正因為FIDO驗證非常困難,所以其安全性受到完全的保證,因此若我們將安全性及便利性進行考量,排序結果會是:

  • 方便性:FIDO(無密碼驗證)>單一密碼>多重要素驗證
  • 安全性:FIDO(無密碼驗證)>多重要素驗證>單一密碼

排序顯示FIDO成功地達到方便性及安全性兩個需求,能夠達到的關鍵在於FIDO的驗證是在使用者隨手可得的實體裝置,同時因為FIDO的私鑰不會存放在伺服器,而是存在於使用者的裝置端,所以不需要進行資料或秘密共享,正因為沒有將資料存放在伺服器,即便服務提供商的伺服器被駭客攻擊,也不會導致使用者的資料被洩漏。
此外,FIDO的密鑰具備特殊的唯一性,無法被用於跨站點的去追蹤使用者的使用行為,如此一來FIDO就可以免去使用者記憶密碼、密碼外洩等障礙。

目前FIDO的使用領域仍是以對資料安全要求較高的銀行業為主,但其實密碼應用的領域非常廣泛,而使用者的資料安全也應該在各個渠道中備受重視:舉例來說,日常生活最為方便的便是上網下買衣服、生活用品等各項物品,簡單的按幾個按鈕就有物品會送貨到家,非常方便。
當消費者多次在購物平台購買物品後,為了免去每次結帳輸入信用卡資料的麻煩,許多消費者通常會使用記憶信用卡資料的功能,一旦帳號密碼不小心外洩,容易引發連鎖效應,讓個人的付款資料外洩,被人以多次小額付款等多種方式繞過銀行的驗證。因此若是電商網站、購物平台能夠導入FIDO的應用,以便利安全的方式讓使用者的信用卡資料、購物內容受到完善的保護,勢必將會增加消費者信心,帶動更多的流量與消費次數。

了解無密碼驗證的落地應用 – FIDO 介紹,可參見文章:什麼是 FIDO? FIDO 無密碼解決方案的全面介紹 (上)

偉康科技,提供以雲端服務、智能數據、資安技術為核心的數位轉型解決方案,協助企業以 FIDO 打造無密碼的零死角資料治理方案

聯絡我們