網路時代的最佳資安解決方案 2:FIDO解決方案實際應用介紹

FIDO概述

網路攻擊千變萬化,密碼防不勝防,再複雜的密碼都可能因為網路釣魚信件的緣故導致密碼外洩,增加多重密碼防護除了徒增使用者困擾,也非完全獲得防護。
為此,資安專家們逐漸轉換方向,讓密碼從複雜化的驗證轉為無密碼驗證,如此可讓密碼資訊不經過任何傳輸過程,封殺外洩的可能,而這個概念的實際運用就是符合FIDO標準的解決方案。

前一次的文章中,偉康科技洞察室詳細的介紹了FIDO標準的由來及其相關的規範等細節,幫助初次接觸此概念的人了解FIDO的技術背景,而接下來的系列文章目的在於藉由實際場景的帶入及介紹,讓人更清楚的明瞭關於FIDO的實際運用場域,方便代入當自己的企業引入FIDO的場景為何。

在開始之前,先簡單的以條列式的方式,幫助大家複習FIDO的內容:

  • FIDO驗證包含三大要素,包括 FIDO驗證用伺服器、FIDO用戶端,以及驗證器(Authenticator)
  • FIDO並不是一款具體的產品,而是一種來自FIDO聯盟的開放技術標準
  • 使用者的資料都被保存在硬體裝置端,而非存放於網路伺服器當中,驗證資料時不存在傳輸過程,因此可以確保使用者密碼不被洩漏

正因為所謂的FIDO不是一款具體的產品而是一種標準,所以FIDO解決方案的使用上不太可能完全相同,而是會根據場景、規模等不同的需求進行調整,有這個認知我們就可以來理解以下列舉的幾個產業運用場景為何可以使用FIDO解決方案,及其使用的需求與大致運用情形。

FIDO應用情境

企業員工遠距工作

FIDO 除了可以客製化需求,在不同產業上的靈活運用外,還有一個是對所有企業都適用的FIDO方案,就是在員工需要遠端工作或是在外派駐時需要調用企業資料的登入情形。
疫情時代,現代人的工作模式有了很大的轉換,距離不再成為工作的障礙,透過網路連線讓員工不管在海邊或是極地等,都可以零延遲的實現跟不同地點的同事進行開會溝通跟協同作業。
但在這個過程中,考驗的不僅是企業的網路協作能力,同時還包含資安環境的架構,若是沒做好把關,可能會在這個過程中,導致企業資料洩漏或是被駭客入侵植入木馬程式等狀況發生。
FIDO的功用在此就可以獲得發揮,藉由FIDO解決方案的驗證,能夠確認每一次的登入都從企業認可的員工裝置端進行,且在過程中也不必擔心員工設置的密碼被洩漏,因為與伺服器的驗證是透過金鑰而非密碼資訊,如此一來當陌生使用者想要進行存取時,將無從下手,最大程度的保障企業資料安全。
資安監管是企業資料治理相當重要的一部分,更進一步的解決方案可參考以下影片,管理者可透過後台來透過調整單一角色的存取控制權限,單一人員的登入也會在系統備案,讓遠在外部連線的工作人員在查看、編輯資料時都能夠受到監管。

FIDO在金融、銀行產業

為了讓民眾的生命財產都受到保障,台灣擁有相當完備的金融及監管法規,對金融產業的限制嚴格,因此在金融科技的發展上不見得很快速,但隨著科技發展的高度進步,也讓金融及銀行業開始注重新技術的應用,而FIDO驗證作為一款能夠提供使用者高度安全保障的技術,也逐漸的被引入銀行業界使用。
在金融服務中有別於臨櫃可以更實際的檢驗到消費者的身分,採用線上或是手機App的方式更注重是對服務使用者的身分識別方案,因此有個統一化的標準,能夠幫助各家銀行業有效使用者,也因此相關的規劃,金管會也正在建置中。

舉例來說:中國信託銀行在2017年便開始導入FIDO標準應用在自家銀行App進行開發,是臺灣最早起步使用的金融機構,直到現在中信有75%的顧客,是使用FIDO機制登入行動銀行App,因此對民眾來說,接受度相當高。

至於採用的方案,根據報導,中信銀目前個人金融的FIDO方案,採用的是UAF標準,其中小企業網銀與行動銀行正考慮導入U2F標準,而隨著FIDO2的推出,也正考慮納入自家的金融服務體系。
其他金融服務業也正逐步引進當中,如國泰世華的KOKO數位銀行,也正使用FIDO方案。

如此可以發現,雖然相關的配套還未很普及,但是金融產業對於FIDO的接受度相當高,也正考慮積極佈署,因此未來認證使用者的方式可能不再是簡訊代碼等,而是透過使用者的設備便可以快速完成驗證,也節省因簡訊傳輸等地大量費用。

5G時代的FIDO應用

通信技術日新月異,從過往的2G專門為了語音及簡訊使用,到現正普及的4G能夠更為即時通訊及串流服務。下一個階段,我們能享受的是比起4G更高速百倍的5G技術,強調三大特性: 大頻寬(eMBB)、大連結(mMTC)、超低延遲(URLLC),供大眾使用。

但 “大眾使用” 這個說法對也不對,因為5G的使用針對的不是手機等個人移動裝置的串流、影音服務等,而是在於能夠實踐要求更高速網路,不容許任何延遲的智慧醫療、無人車等需求,也同時加速企業朝向數位轉型的發展,如無人搬運等需求,因此5G的出現將通信的使用從個人的需求轉向供應更為宏觀的大眾設施需求,也讓我們的生活圈更能向著智慧城市前進。

正因為5G強調低延遲的特性,若未做好安全部屬,一旦面臨攻擊將在短時間內無法反應及搶救,避免亡羊補牢,就要在事前先建置完整的資安環境,降低一切風險發生的可能性。FIDO解決方案能提供的保障,就是確保連線時,讓使用者透過實體裝置進行驗證,避免網路駭客取得使用者資料後,藉由網路登入遠程控制。

IoT設備與物聯網產業採用FIDO方案

因為物聯網產業的蓬勃發展及技術創新,製造業,零售業,醫療保健,運輸,物流等傳統產業,也開始重視物聯網設備的導入能夠帶來的獲利,並且根據IDC預估全球物聯網在2020年至2024年間的投資複合年均成長率(Compound annual growth rate)將達到11.3%,物聯網的需求正在積極提升,同時因為5G的建設開始逐步擴張,支持越來越多設備同時聯網進行管理,也因此FIDO聯盟正在積極探討針對物聯網設備連接及維護的安全協議FDO(FIDO Denvice Onboard)協議
專為IoT物聯網設備而生的FIDO驗證FDO協議的流程如下:

  1. IoT設備的製造商,安裝FDO軟體的客戶端及其密鑰、所有權憑證和其他FDO憑證
  2. 購買設備的用戶將所有權憑證發送到選定的雲端平台,集合服務器會收到所有權憑證
  3. 當設備接電並連接網路時,會將自己標識到與雲端平台配對的集合服務器上
  4. 設備會聯繫雲端平台並提供其密鑰,雲端平台會提供所有權憑證,從而在兩者之間創建安全的加密通道,就可以通過通道下載必要的憑據或代理軟體。

相較於常見的FIDO方案是驗證人包含使用生物識別等方式,針對IoT設備的FIDO驗證採用的是所有權憑證來驗證傳輸的平台是正確的,避免被物聯網設備的訊息被接入到陌生的平台當中。
為什麼避免設備資訊傳輸到陌生平台是一件很重要的事情?這是在於物聯網設備的資訊跟財報具有類似的概念,財報可以推斷一家公司的經營狀況,從而讓人了解一間公司是否健全,而物聯網設備的生產資料:用電量、耗損率等,則可以讓人推估出一條產線的生產狀況,若隨意地被揭露,可能引發不小的引響,被人質疑企業產能不足或是浪費過於嚴重等問題。
因此FIDO驗證方案能夠提供上述問題的解決方案,幫助物聯網設備廠商及其客戶提供完整的保障,安全又便利的享受物聯網對產能資料監管的便利性。

FIDO的應用核心

藉由不同場景的舉例可以發現,幾乎只要任何有登入的需求,都可以使用FIDO解決方案。這是在於FIDO解決方案的核心就是讓密碼不經過傳輸過程,所有秘密都保存在裝置本體端,如此一來可讓需要用到密碼的場景,不存在因網路而使得密碼洩漏的問題。
隨著跨國遠距、溝通交流越來越頻繁,為了避免讓非當事人取得機密資料,驗證身分這件事情變得很重要,同時隨著手機等的移動裝置越來越盛行,FIDO便利性不足的缺點逐漸消失,如此也不難怪FIDO解決方案逐漸成為資安解決方案的核心之一,也越來越多應用出現在大眾的生活。

心動不如行動,偉康科技提供符合FIDO聯盟的解決方案,依照客戶需求打造使用場景,完整保障資料安全
聯絡我們