從密碼到無密碼:為何FIDO是網路安全的下一步
在現代網絡世界中,密碼保護我們的個人資料、金融交易和企業機密。然而,隨著網絡攻擊的日益增多,密碼已成為不夠安全的防線。國外網路安全研究員在本月12日表示,有一個包含數十億筆資料的檔案(RockYou2024)在網路上被一個用戶名為ObamaCare的使用者於7月4日發布,其中多達15億筆資料都是QQ騰訊(Tencent)以及微博(Weibo),另外大家常用的 Twitter、Linkedln、Canva…也都名列榜中。「RockYou2024」這個檔案已被證實是「RockYou2021」的延伸版本,這近100億組密碼的釋出,是將以往多次駭客攻擊所獲得的數據彙集在一起,雖然其中大多數並非新的洩漏,但將如此龐大的密碼集合在單一檔案中並公開於網絡,無疑使身分被盜的風險大幅增加。這樣的情況突顯了傳統密碼系統的不足之處,也讓人們開始尋找更安全的身份驗證方式。在這個背景下,FIDO(Fast Identity Online)作為一種新興的無密碼解決方案,逐漸受到關注。
密碼困境
在討論FIDO是什麼以前,我們先來談談現在密碼的困境。
- 脆弱性
密碼的設計初衷是為了簡單易用,但這也成為其最大的弱點。許多人為了方便,往往使用簡單且易記的密碼,如“123456”或“password”,或是使用個人相關資料當作密碼,如:生日、身分證等等,這些密碼很容易被猜中或破解。即使是複雜的密碼,也難以抵擋現代攻擊者使用的暴力破解和字典攻擊等技術。
- 重用問題
許多用戶在多個網站和服務中使用相同的密碼。一旦其中一個服務遭到入侵,攻擊者便可以利用相同的密碼嘗試登錄其他服務,造成連鎖反應般的數據洩露。大型零售商的數據洩露事件,導致數百萬用戶的帳戶信息被盜,進一步引發其他服務的安全問題。
- 漏洞與釣魚攻擊
密碼也容易受到社會工程學攻擊的威脅。釣魚攻擊就是其中之一,攻擊者通過偽裝成可信賴的機構,誘使用戶提供他們的密碼信息。即使是訓練有素的用戶,也可能在不經意間落入這些陷阱。
無密碼驗證的興起
- 多因素認證(MFA)
多因素驗證是一種保護帳號安全的方法,需要用戶在登錄時提供多個驗證因素,如密碼、硬體密鑰(*)和生物辨識數據。這樣即使密碼被盜,攻擊者也難以完成登錄。
舉個例子:
第一步:輸入密碼(你知道的)。
第二步:輸入系統發送到手機的驗證碼(你擁有的)。
第三步:有些系統還會要求掃描指紋或用臉部識別來確認身份(本人的特徵)。
這樣,即使別人知道你的密碼,他們也無法登錄,因為他們沒有你的手機或者指紋等其他驗證資料。這就是MFA的基本概念。
- 生物識別技術
生物識別技術利用人體的獨特特徵進行身份驗證,如指紋、面部識別和虹膜掃描等。這些技術難以被複製,提供了更高的安全性。然而,生物識別數據一旦被盜,將難以更改和恢復,這也引發了對隱私和數據保護的擔憂。
- FIDO(Fast Identity Online)
FIDO 是指由同名的非營利組織 FIDO 聯盟所訂定的一套網路識別標準,旨在確保登入流程中伺服器及終端裝置協定的安全性。而這套識別標準透過公開金鑰加密的架構進行多重因素驗證(MFA)以及生物辨識登入來強力且嚴密地保護雲端帳號的個資。
FIDO聯盟推出了兩個主要的標準:
- FIDO U2F:這是一種雙重驗證方法,要求用戶在使用密碼的同時,還需要使用一個FIDO兼容的硬體密鑰(*)進行驗證。
- FIDO2:允許使用者僅使用生物特徵或硬體密鑰進行身份驗證,而不需要密碼。
*硬體密鑰:硬體密鑰是一種小型的物理設備(通常是USB設備,也有NFC或藍牙版本,可以插入或配對電腦使用),生成一對公鑰和私鑰,私鑰保存在設備內,作為MFA中「你擁有的」因素,同時硬體密鑰也支持FIDO U2F和FIDO2標準,用於無密碼登錄,提高安全性。
FIDO例子
想像你有一個金庫,裡面存放著你最重要的財物。傳統上,你會用一把鑰匙來鎖住金庫,但有時你會把這把鑰匙放在容易找到的地方,這樣就可能讓不法之徒有機會偷走你的東西。FIDO就像是一種高科技的金庫鎖,不再需要傳統的鑰匙,而是利用特殊的方式來確保安全。
在這個系統中,FIDO使用公鑰密碼學,就像金庫內部有一對特殊的鑰匙:私鑰和公鑰。私鑰存放在你的設備中,永不離開,而公鑰則註冊到服務器上。每當你想打開金庫時,你的手機或電腦就像是專屬的鑰匙,負責使用私鑰對隨機挑戰(*)進行簽名,服務器則用公鑰來驗證簽名的有效性,從而確認你的身份。
此外,FIDO支持多種驗證方式,就像金庫擁有多種開鎖方式。這些方式包括生物識別(如指紋和面部識別)、硬件令牌和PIN碼等,提供靈活且安全的驗證方案。當你需要進入某個網站時,你的設備會用私鑰進行身份驗證,這就像是用指紋解鎖金庫。
更重要的是,FIDO標準考慮了跨平台兼容性,確保你可以在不同設備和環境中享受一致的無密碼驗證體驗。這樣的方式不僅提高了安全性,還消除了記憶繁瑣密碼的困擾。即使有人知道你的密碼,沒有那把專屬的鑰匙,他們也無法進入你的「金庫」。
*隨機挑戰:指在身份驗證過程中,服務器會生成一個隨機的數字(稱為挑戰),並發送給用戶的設備。用戶的設備使用私鑰對這個隨機數字進行簽名,產生一個唯一的證明。然後,這個簽名會被發送回服務器,服務器使用公鑰來驗證簽名的正確性。這個過程的目的在於確保用戶的設備是真實的並且擁有私鑰,而不是單純依賴密碼。隨機挑戰的使用增加了安全性,因為每次身份驗證都有不同的數字,防止重放攻擊(使用先前的簽名再次驗證的攻擊)
FIDO應用場景
- 金融服務業
- 銀行和支付系統:
使用FIDO進行無密碼登錄和交易驗證,防止身份盜用和詐騙行為。隨著《歐盟支付服務指令2》(PSD2)和《一般數據保護條例》(GDPR)的實施,銀行和支付系統必須遵守更嚴格的安全和隱私保護標準。FIDO技術通過多因素身份驗證和生物識別技術,滿足這些法規的要求,保障客戶的交易安全和數據隱私。
- 保險公司:
在保險公司的客戶門戶網站中,FIDO技術確保了客戶資料的安全性。用戶可以使用指紋或面部識別進行驗證,簡化了登錄流程,提高了用戶體驗,還滿足了GDPR對數據保護的高標準。
- 政府及一般行業
- 電子政務:
根據《通用數據保護條例》(GDPR)和《個人信息保護法》(PIPL)等法規,政府機構必須保護公民的個人數據,FIDO技術在這方面提供了強有力的支持。例如,許多國家已經開始實施電子身份驗證系統,以簡化公民的在線辦事流程,同時確保數據安全。
- 製造業:
隨著工業4.0的推進,製造業中的物聯網(IoT)設備越來越多,這些設備的安全性成為一大挑戰。FIDO技術可以通過強身份驗證來保護這些設備,防止數據洩露和網絡攻擊,確保生產系統的正常運行和數據的完整性。
- 零售業:
隨著《支付服務指令2》(PSD2)在歐盟的實施,強身份驗證(SCA)成為網絡交易的必須要求,零售業者可以利用FIDO技術來符合法規要求,同時提供便捷的購物體驗,減少購物車放棄率,提升顧客滿意度。
- 企業內部系統
- 企業網絡和VPN:
遠程工作在疫情之後普及,企業越來越依賴安全的遠程登錄解決方案。FIDO技術為可以確保只有授權人員能夠訪問企業網絡減少數據洩露的風險,從而保護企業的聲譽和財務安全。
- 內部應用程序:
越來越多的公司轉向數字化和雲端解決方案,在企業內部系統中,FIDO技術被廣泛應用於員工身份驗證,確保機密信息不被洩露,成為保護內部數據和維護企業信譽的重要手段。
- 物聯網(IoT)
- 智能家居:
隨著智能家居設備的普及,家庭中連接的設備數量日益增多,使得安全風險也相應增加。例如,智能門鎖、監控攝像頭和燈光控制系統都需要有效的身份驗證來防止駭客入侵。某些智能家居平台已經開始實施FIDO標準,允許用戶在手機上使用生物識別進行登錄,並對連接的設備進行管理。這樣,即使有不法分子試圖入侵,用戶的身份驗證機制依然能夠有效防止未經授權的控制,確保家庭的安全與私密。
- 工業IoT:
隨著各國工業標準的演變,如美國的NIST(國家標準技術研究所)框架,對工業IoT安全性提出了更嚴格的要求,強調了身份驗證和訪問控制的重要性,以防止惡意攻擊和系統故障對生產造成的損害。
普匯觀點
隨著網絡安全威脅的日益增長,傳統的密碼管理方式已顯示出其局限性。越來越多的企業和機構開始轉向無密碼解決方案,FIDO作為其中的佼佼者,提供了一種更加安全且便捷的身份驗證方式,符合當前對安全性和用戶體驗的雙重需求,一定會逐漸獲得廣泛應用。
