網路時代的最佳資安解決方案 1:FIDO的深入解析 (上)

FIDO簡介

FIDO全名是Fast IDentity Online,可將傳統密碼的登錄方式替換為跨網站和應用程式的快速安全登入體驗。
實際上,FIDO 並不是一款具體的產品,而是一種來自FIDO聯盟的開放技術標準,定義了減少密碼依賴的用戶身份驗證解決方案,只有符合這個標準的方案,才能掛上FIDO驗證的名字。
FIDO 的核心在於:使用者的資料都被保存在硬體裝置端,而非存放於網路伺服器當中,驗證資料時不存在傳輸過程,正因為如此,能夠最大化的降低資料被竊取的可能性。
應用層面廣泛,只要有密碼跟驗證需求,都可以使用 FIDO 解決方案,能夠同時兼顧安全與便利的需求,逐漸被要求高度資安的金融界、科技業等廣泛採用。

什麼是FIDO

隨著科技的進步,密碼的使用越來越頻繁,但傳統密碼存在許多問題,例如:密碼設置過於複雜使用者自己就容易忘記、要求以英數符號等不同的方式進行設置等等,使用不便且不一定能完全阻隔網路的威脅,被人詬病。

產品服務提供者為了讓使用者獲得更高的安全性,提供OTP驗證、兩階段驗證等第二扇門的方式保護第一個密碼,但衍生的問題是顧及到安全性卻犧牲了便利性,依然沒有解決傳統密碼的障礙,先前文章也提到過雙重驗證的方式也不能避免威脅,仍然有機會被以網路釣魚的方式取得驗證碼,竊取走資料。

面對這些狀況,資安界的專家們不斷改良登入及驗證方式,大約每隔 10 年就會產生新的變革來解決密碼安全的問題,目前的最新趨勢是捨棄傳統密碼型態,轉向以無密碼驗證零信任安全模型等架構的解決方案來面對資安議題,FIDO 就是在無密碼及零信任這兩個架構概念下誕生的一種解決方案標準。

傳統密碼的登入方式是藉由使用者輸入的帳號與密碼與驗證的資料進行比對,經過身份識別(Identification)與身份驗證(Verification)確認使用者身分之後,再允許登入,代表著只需要知道帳號跟密碼,即使不是本人登入也能夠通過驗證,除了 IP 位置也無法追蹤由哪一端進行登入。
FIDO 的優勢在於,由使用者的硬體裝置來進行身分驗證,再經由公私鑰架構線上識別身分。FIDO 將需要被驗證的資料保存在使用者硬體端,資料不會經由網路資料傳輸,也因此不會被洩漏,具有安全保障。

這邊或許會有兩個問題產生,一是如果實體裝置遺失不是也會造成資料洩漏,怎麼能稱得上是安全?另一個問題是,既然要用實體裝置驗證,不是會增加使用者攜帶上的負擔,怎麼有辦法實現便利性?

實際上,由於行動裝置的普及,能夠很好的解決這些問題,因為現在幾乎人人都有手機,手機也可以使用 FIDO 解決方案,不需要額外購買及攜帶,能夠達到便利跟安全,另外在於生物辨識技術的進步,目前大部分的手機都能夠使用指紋或是面部辨識等固有因子的方式來解鎖手機,FIDO 也跟這點做結合,即使在裝置遺失的狀況下,他人也不容易取得資料。

FIDO聯盟

FIDO Alliance, FIDO 聯盟

提到 FIDO 就不能不認識 FIDO 聯盟:
FIDO 聯盟本身是一個具有開放性的非營利產業聯盟,創始者是 Paypal 跟聯想的創辦人,於2013年2月成立,其他著名的成員還包含 Google、Apple、Microsoft 等各家服務大廠都在其中。
FIDO 聯盟期望通過以下方式來實現其主要使命:開發和推廣身份驗證標準,藉此幫助全球各個產業、服務應用等減少對密碼的依賴性
• 制定技術標準,確立一套開放,可擴展,可協作的機制,以減少驗證使用者時對密碼的依賴
• 實施行業認證計劃,以幫助確保在全球範圍內成功採用該標準
• 將成熟的技術標準提交給公認的標準制定組織,使 FIDO 實現標準化

在 2018 年,國際電信聯盟(ITU)也已經通過將FIDO UAF和FIDO2 CTAP2/U2F 納入正式標準之中。
正是有 FIDO 聯盟制定了相關的標準,才能夠另全球多樣化的無密碼解決方案有一個統一的標準,讓需求企業挑選符合自己的方案,也讓這些企業的顧客受到更深一層的保障。

FIDO規範

FIDO 是一種方案標準,擁有各式各樣對於網頁端、移動端的不同標準,主要特徵:

  • FIDO 1.0:
    • U2F:物理兩要素( two-factor authentication, 2FA)身份驗證密鑰的標準規格
    • UAF:無密碼身份驗證技術的標準規格
  • FIDO 2.0:
    • WebAuthn:一組標準的Web API,允許在瀏覽器中進行無密碼身份驗證
    • CTAP1:FIDO1.0的U2F標準,在FIDO2中保留下來並重新更名
    • CTAP2:使用物理密鑰和移動身份驗證器應用程序實現2FA和無密碼身份驗證的規範

FIDO1

通稱FIDO或稱FIDO 1.0標準在2014年發布,此標準由兩個要件:通用身份驗證框架(UAF)和通用第二因素(U2F)組成,是FIDO作為統一業標準以實現無密碼體驗的第一次疊代。

U2F

U2F是物理安全密鑰的標準,U2F密鑰通常通過USB連接到電腦,但也有近距離無線通訊(NFC)藍牙低功耗(BLE)的型號可以用於移動設備。
U2F設備使用公共金鑰加密的方案來保護賬戶。私人密鑰只存儲在U2F設備上,永遠不會離開它,這使得它比基於簡訊和時間的多重要素驗證(2FA)更安全,因為後者可被以網路釣魚的方式獲取驗證內容。

UAF

UAF是一個允許應用服務採用無密碼和多因素驗證的標準。使用者在註冊帳戶時,能夠在應用服務中註冊一個自己擁有的設備,並指定一種本機認證機制,如指紋、臉部辨識以及語音識別、輸入PIN碼等。
與U2F一樣,UAF會創建密鑰,私鑰儲存於設備上,公鑰儲存在服務的服務器,每當用戶想要登錄UAF服務時,不需要輸入密碼,只需要重複他們註冊過的UAF方式,例如使用臉部辨識驗證。

FIDO2

相較於只是概念的FIDO1 ,FIDO2 更加具體且可行。FIDO聯盟指出:FIDO2通過解決傳統身份驗證在安全性,可用性,隱私性和可伸縮性方面的挑戰,能夠成為產業界對全球密碼問題的答案。

FIDO2 主要是由WebAuthn、CTAP二個核心組成三個要件。

WebAuthn

WebAuthn API(應用程式介面),是一種Javascript API,開發者能夠將基於FIDO的身份驗證增加到支持 FIDO 的瀏覽器或雲端平台,這代表著使用者將能夠使用生物識別、App等登入自己使用的應用服務。目前所有的瀏覽期都支持WebAuthn,包括Chrome、Safari、Edge等,甚至Windows 10和Android還提供了對WebAuthn的本機支持。

CTAP

其次是客戶端到驗證器(Client-to-Authenticator, CTAP)協定,此協定能夠對使用FIDO2的設備,如NFC,USB或藍牙進行外部認證,且能搭配WebAuthn使用,以作為桌面應用程式或網路服務的身分驗證器。
FIDO聯盟在FIDO2保留了U2F標準,並且將其重新命名,除此之外更加入CTAP2,與U2F基本相同,但要求更寬鬆,可以將移動設備等也作為外部身分的驗證裝置。

FIDO2 的最大意義,就是成為國際標準機構的正式標準規範,使用者將能透過瀏覽器,以指紋或臉部辨識登入網站服務應用,或是搭配CTAP協定使用自己的裝置,如USB、手機 App等包含安全金鑰的硬體作為登入時的驗證裝置。

點此觀看:什麼是 FIDO? FIDO 無密碼解決方案的全面介紹 (下)

偉康科技協助您超前部屬 FIDO 身分驗證解決方案,滿足資訊安全及便利性的需求,保障企業資料與客戶數據安全

聯絡我們

立即訂閱電子報

掌握最新科技趨勢!