美國CISA力挺FIDO無密碼身分認證,多因子認證MFA成為無密碼趨勢標準
Posted On 2022 年 11 月 28 日
每年十月,美國白宮都會推動一整個月的「網路安全意識月」(Cybersecurity Awareness Month),身為美國國土安全部的網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency,CISA)總監Jen Easterly,如果您有再Twiter上關注 @CISAJen 您就會知道Jen Easterly 是多麼的熱情在推廣每個人都使用MORE THAN A PASSWORD!
Jen Easterly 希望可以提升美國民眾的資安意識。
CISA 總監 Jen Easterly 力挺FIDO無密碼身分認證
她也於10月18日在自己的Twiter公開發文錄製影片表示,力挺FIDO(Fast Identity Online)聯盟推動”無密碼身分認證”,認證機制有指紋及生物辨識的無密碼數位身分認證機制,希望可以取代目前各行各業常使用的簡訊OTP一次性密碼的MFA多因子認證機制,讓FIDO成為無密碼時代的數位身分認證機制。
駭客已繞過以往傳統的認證機制
在美國網路安全意識月,其中有一項是:
希望每個人可以確保使用網路各種服務的安全性,包括電子郵件、銀行、各種社交媒體以及需要經過線上驗證身分的各種服務的帳號安全性,並針對相關的線上服務啟動MFA認證機制。
美國總統拜登在去年便下令,要求美國聯邦政府以及所屬機關構,都必須積極推動多因子認證,而FIDO則是被大力推廣的無密碼數位身分認證機制。
Jen Easterly表示,有許多行業或是技術領先的業者,都已經率先推動或強制要求使用者採用多因素認證機制,確保線上服務使用者的安全性。
但她也引述一份頂尖資訊服務業者的數據指出,只有四分之一的企業客戶已經註冊多因子認證服務;已經註冊的企業客戶中,只有大概三分之一的系統管理員(system administrators),使用多因子認證機制,來確保使用者的數位身分認證的安全性。
但多因子認證機制並不是萬能,在過去幾年也陸續發生資安事件,有一些駭客已經可以繞過傳統的多因子認證機制,資安危機這部份在臺灣也曾發生過使用釣魚簡訊,或是其他身分認證App、發送通知等認證機制。
她認為,這些繞過MFA的工具包(Toolkit)可以降低駭客的攻擊成本,像是憑證釣魚(Credential phishing)的事件也越來越常見,當駭客願意花時間、金錢和心力,遲早都會駭入企業內部的,所以在企業內的每一個人都可能是受駭者。
當FIDO私鑰儲存在使用者的驗證裝置上,使駭客無法再破解
當駭客可以繞過以往傳統的MFA機制,勢必要有新的認證機制來取代,而由PayPal、英飛凌、Google、微軟等科技大廠組成的FIDO聯盟,重新打造一個可以對抗網路釣魚的MFA多因子認證機制,FIDO通訊協定可以應用在現有的作業系統、網路瀏覽器、手機和平板電腦,網路時代也有許多線上服務和企業們都積極導入採用FIDO無密碼認證及推動FIDO無密碼身分認證機制。
不過Jen Easterly說,並沒有百分之百的安全,再安全的MFA機制都可能遭駭客破解,但因為FIDO無密碼身分認證機制是將公鑰存放在FIDO伺服器中,解密的私鑰則是存放在使用者端的作業系統、瀏覽器、手機或是平板電腦等,「如果員工遇到釣魚郵件的攻擊,駭客因為無法取得使用者端儲存的FIDO私鑰,所以攻擊也不會成功。」
Jen Easterly鼓勵所有企業的執行長,未來要把FIDO編列在企業系統導入的藍圖內,她更認為,FIDO未來將會是多因子認證的唯一標準,所以企業們更應該積極將FIDO導入跟上這股FIDO推行的浪潮上。
訂閱偉康科技洞察室部落格,掌握最新科技趨勢!
專人協助
由偉康業務人員為您詳細說明偉康的解決方案,以及相關產業經驗。
About The Author
