FIDO網路身分識別是什麼?2.jpg

在2018 FIDO臺北研討會上,歐生全副總經理黃啟峰分享了數位化時代的認證機制發展,關於使用密碼安全的問題,業界也不斷推動許多的因應措施,近年還有兩步驟驗證、雙因素認證等,而從最新的發展趨勢來看,朝向的目標就是強式多因素驗證,以及無密碼驗證。

 

 

 

最大的改變!身分保管責任分散在裝置端,伺服器不集中保存密碼

 

綜觀這幾年來,資料外洩事件頻傳,當中已經包含大量的帳號、密碼,而針對帳號密碼的網路釣魚攻擊,威脅也越演越烈。對於如何杜絕帳密外洩與盜用的風險,還有使用者密碼記憶不易的問題,FIDO標準的作法,已成為當今公認的一個可行解決辦法。

 

只是,為何FIDO能提升網路身分識別的安全與便利?

 

簡單來說,FIDO標準最重要的關鍵,就是身分驗證是在裝置端進行,搭配非對稱公鑰私鑰架構,來與線上身分識別相結合,不僅如此,FIDO還能涵蓋生物辨識技術,以及硬體安全模組的搭配,這也是能進一步強化便利與安全的主要原因。

 

在傳統密碼的驗證架構中,是以自己與伺服器,雙方都知道帳號與密碼來驗證,而FIDO則是採用公開金鑰基礎架構,FIDO認證伺服器端(FIDO Authentication Server)只保存相對應的公鑰,不存在任何秘密,而私鑰只保存在裝置端。

 

因此,在這樣的架構下,風險將分散在裝置端,而不是集中在伺服器端。過去企業網站一旦被攻破,可能就造成幾百萬以上的帳號密碼外洩,現在FIDO的認證伺服器不保管任何的秘密,也就杜絕了此一威脅發生的可能性,即便伺服器被攻破,也只是不能登入,但身分不會被竊取。

 

若是駭客要針對用戶裝置一個個進行入侵,也會變得相當麻煩,而且,對於金鑰儲存的安全性,在FIDO規範下,也將有不同層級的防護規範。

 

仰賴兩大關鍵技術的成熟──生物辨識與安全模組發展是重要環節

在安全性方面, FIDO的發展更是與生物辨識、硬體安全息息相關,例如生物辨識的準確性,以及儲存的金鑰是否受到安全的保護。

 

因此,FIDO聯盟會員的組成也反映了這股趨勢,不只是要應用的雲端服務商需支援FIDO,也包含了從晶片、設備與生物特徵解決方案業者,這其實需要相關生態的完整配合,才能達到更高安全的目標。

 

一般而言,談到生物辨識系統的準確性,有兩個關鍵的參數值得注意,一個是錯誤接受率(False Acceptance Rate,FAR),這是指非法使用者異常通過身分辨識的比率,也就是應拒絕卻未拒絕,另一個是錯誤拒絕率(False Rejected Rate,FRR),是指合法使用者無法正常通過身分辨識的比率,也就是應接受卻未接受。

 

另一方面,還要看的是生物特徵如何儲存與保護,這需要搭配安全的硬體設計,才能幫助FIDO進一步增強加密金鑰的存取保護。

 

因此,FIDO標準對於FIDO用戶端驗證器,也制訂了4個安全層級標準,像是Level 1、Level 2、Level 3與Level 3+。簡單來說,數字越大代表安全性越高,最基本可以純軟體形式提供,若要達到更安全的層級,將可搭配TEE、TPM、SE等硬體安全模組,做到私鑰的安全存取保護。

 

這也讓服務提供商視安全層級的不同,而提供相應的保護,譬如說,第三方支付需要TEE的配合,若是更高一級,還需要搭配SE,以保護終端上的各種惡意威脅。

 

現階段包含3種標準:UAFU2FFIDO2

在瞭解了FIDO網路身分認證的安全性之後,實際應用現況就是企業與用戶關注的焦點。

 

隨著網路身分驗證的不斷演進,像是簡訊OTP、兩步驟驗證,以及雙因素認證等,都已日漸普及,現階段業界積極發展的是強式多因素驗證,以及無密碼驗證。

 

以FIDO聯盟制訂的技術規範而言,目前的認證協議有三種,包含2014年公布的FIDO 1.0標準:通用認證框架(Universal Authentication Framework,UAF),以及通用第二因素框架(Universal Second Framework,U2F),另一個是2018年新公布的FIDO2,它並被視為將加速應用的一大關鍵,原因在於已經被W3C與ITU等國際組織標準接納。

 

這些FIDO規範到底有何差異?據了解,FIDO聯盟在推動無密碼的過程中,有兩條路線平行發展,第一個是要把密碼拿掉,只是密碼並不會一下子就消失,第二個就是強化密碼安全。相對應來看,UAF是免密碼輸入的認證協定,U2F則是用於雙因素認證,以強化身分認證安全性。

 

這幾年來,國際間已經有大型雲端業者及金融業,提供支援UAF與U2F驗證方式的服務。

 

例如,在金融業有美國銀行、在線上金流有Paypal、而在電信業,則是NTT Docomo,皆已為其行動服務提供支援UAF的身分驗證。基本上,生物識別的方式可包括臉部、聲音、虹膜與指紋辨識等,將隨服務商的提供、行動裝置內建的應用,而有不同。

 

另一方面,一些雲端服務大廠提供了多元的身分驗證,並在兩步驟驗證中,已經增加U2F驗證協定的支援,像是Dropbox、Facebook、GitHub、Google、Salesforce等。也就是說,上述這些服務,已經能夠支援使用者以實體安全金鑰(Security Key)的裝置,來登入帳號。

 

舉例來說,Google在2014年就開放U2F的支援,使用者登入他們的服務時,只要接上如USB形式的U2F實體安全金鑰,依指示碰觸一下該硬體的按鈕,就可以通過驗證存取服務。但如果是連到假冒的Google網站,就無法通過,這將更能確保用戶密碼,不會被網路釣魚手法取得,而這也是U2F明顯的一大優勢。

 

甚至,近年Google在企業內部也採用了U2F的硬體安全金鑰,以保護員工免於受到網路釣魚攻擊。根據KerbsonSecurity指出,Google自2017年已有8萬5千名員工採用,以取代傳統密碼輸入與動態密碼。而且,該公司去年還以自家的Titan Security Key對外販售,同樣引起了不小的話題。

 

參考資料來源: https://www.ithome.com.tw/news/128566

 

若您對此解決方案有興趣,想採用卻不知道該何去何從?

SafeNet Authentication Service SAS雲端驗證是您的最佳選擇!

 

欲詳細了解產品資訊請拜訪:

正新電腦 http://www.pronew.com.tw/ 04-24738309

arrow
arrow
    文章標籤
    雲端驗證 動態密碼產生器 身分認證 網路認證鎖 軟體授權保護 電腦開機認證 數位憑證 數位簽章 資訊安全 磁碟保密 文件保密 eToken 智慧卡 OTP動態密碼鎖 數據加密 軟體安全顧問 正新電腦 USB 保護鎖 雙因數驗證 金鑰管理
    全站熱搜

    正新- 資安專家 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄