網路時代的最佳資安解決方案 1:FIDO的深入解析 (下)

點此觀看什麼是 FIDO? FIDO 無密碼解決方案的全面介紹 (上)

FIDO的註冊方式

當一個使用者想要註冊FIDO服務,大致流程如下:

  1. 使用者填寫註冊資料,應用服務惠要求使用者選擇自己的FIDO身分驗證裝置,其能夠符合FIDO的身分驗證裝置應用服務,例如手機等,也可以是安全密鑰裝置或是TPM
  2. 使用者選定了身分驗證裝置後,FIDO 設備會生成一個安全密鑰對
  3. 使用者的設備會將公鑰發送到應用服務,並將此公鑰註冊到使用者資料庫當中與使用者帳戶產生連結
  4. 驗證過程由使用者的安全密鑰進行,私鑰和使用者的私人資訊如指紋及臉部數據等從不自使用者設備離開去傳輸

FIDO 註冊方式

FIDO的驗證過程

FIDO解決方案的核心在於使用者與伺服器從不交換任何資訊,如密碼、私鑰等才能夠確保使用者資料的絕對安全。
因此,FIDO驗證包含三大要素,包括FIDO驗證伺服器、FIDO用戶端,以及驗證器(Authenticator),當使用者要進行登入時,其過程如下:

  1. 使用者提供帳戶或電子信箱進行登入要求
  2. 此時服務應用會提供一個加密驗證簽章
  3. 使用者使用FIDO身份驗證裝置中的應用程序或密鑰來簽署驗證簽章
  4. 簽署完成後,使用者將簽署的簽章發回
  5. 服務應用會對使用者私鑰對應的公鑰進行驗證,如果成功,則給予使用者權限進行訪問

FIDO的實際運用案例可參考偉康科技FIDO無密碼認證快速登入流程圖

FIDO 無密碼解決方案

獲得FIDO聯盟認證的廠商將獲得FIDO標籤,以此證明其解決方案或產品與FIDO標準具有互操作性,像是:經過FIDO認可的伺服器應用,可以跟任一款FIDO認可的實體裝置相互驗證,儘管兩款產品分屬不同公司進行開發。

FIDO驗證裝置的安全級別

儘管所有的FIDO裝置都具有安全性,但這些安全級別也是有所分級,最安全的等級是第3級以上,能夠防止任何物理竄改與資料竊取的方法。

  • 第一級(Level 1)

能夠實現FIDO2,UAF或U2F標準的所有軟體或硬體身份驗證裝置,這是FIDO身份驗證標準的基本,可保護使用者避免受到網絡釣魚、伺服器破壞和中間人(MitM)攻擊

  • 第二級(Level 2)

第二級會比第一級會採取一些額外措施,來保護安全密鑰受到更高級的攻擊,此一等級的FIDO解決方案可以防禦任何想要通過訪問設備來獲取資料的惡意軟體。

  • 第三級(Level 3)

符合此一等級的身分驗證裝置可以保護使用者的安全密鑰受到基本的硬體攻擊。能夠防止物理更改或是被駭客操控硬體設備,如不幸被攻擊,也至少會顯示清楚的痕跡。

  • 第三級以上(Level 3+)

FIDO 身分驗證裝置中最為安全的等級,此一等級的驗證裝置必須將安全密鑰儲存於可信平台模組(Trusted Platform Module,TPM)當中,能夠防止任何類型物理更改或資料提取方式。

FIDO 驗證裝置安全分級

FIDO價值與發展

過去FIDO標準面對到的困難是即使產業界大力支持,但是在很多共通性標準上仍有所欠缺,隨著國際性的網際網路組織如W3C、ITU的加入,讓FIDO聯盟的影響力更加擴大,帶動世界對於密碼使用的另一層面思考,也讓更多產業注意到FIDO身分解決方案的潛力。

目前來說像是擁有眾多使用者的即時通訊廠商LINE,也開始提供基於FIDO標準的無密碼解決方案,讓使用者能夠以指紋驗證、臉部是別的方式進行登入,以克服LINE使用者的安全性議題。
資安要求嚴格的金融業也相繼採用,台灣如中國信託銀行的Home Bank App、國泰世華的KOKO App等也完成應用導入,使用者將能夠以FIDO解決方案進行登入或轉帳。

對企業用戶來說 FIDO 解決方案能夠提供的是高度的安全防護,目前多是在B2B產業上進行應用,但其實FIDO的便利性潛力無窮,對電商產業或是購物平台等B2C業者而言,降低顧客的購物流程的負擔如登入、付款等,將有助於提高顧客購物體驗,進而增加購買機會,其他產業的概念也相同。

未來,在越來越多的 FIDO方案應用發展下,世界將更加便利與安全,可以想見我們將可以不用再記憶一大堆密碼,同時能夠實踐高強度個人資料安全保障。

偉康科技協助您超前部屬 FIDO 身分驗證解決方案,滿足資訊安全及便利性的需求,保障企業資料與客戶數據安全

聯絡我們

立即訂閱電子報

掌握最新科技趨勢!