最新消息與洞察
NEITHNET 資安實驗室
每年十月美國都會有為期一個月的「網路安全意識月」美國網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency,CISA)總監Jen Easterly在公開發文中表示目前駭客可以繞過傳統的MFA,因此有新的驗證機制FIDO(Fast Identity Online)來取代MFA,她也在文章中表示大力推廣FIDO聯盟推動的支援指紋等生物辨識及FIDO無密碼數位身分認證機制是相對安全的驗證方式。
以傳統密碼登入的不安全性
在生活中,我們時常需要登入帳號及密碼在不同的系統或軟體中,對使用者而言需要管理大量密碼是一項極為繁瑣的事情,也因為不想紀錄密碼,而一律皆改為同一組密碼登入,但這有可能會造成帳戶被入侵、資料被竊取,甚至最壞的情況是身分被盜用。根據美國電信商Verizon 2022年的研究報告顯示,有80%的安全漏洞跟密碼外洩、竊取有關,攻擊手法從一開始的系統癱瘓,進展成透過釣魚網站得到使用者的個人資訊,而進一步獲取更大的利益。
無密碼時代的來臨-FIDO
持續使用傳統密碼衍生的資安問題,讓資安專家不斷思考如何改良登入及驗證的方式,目前的趨勢就是捨棄傳統密碼,改用無密碼驗證的架構來解決這個資安議題,可以將多組密碼整合為一組快速且安全登入的方式就是FIDO。
FIDO所有的協定都是建立於公開金鑰加密,故此種驗證模式在FIDO認證伺服器端(FIDO Authentication Server)只保存相對應的公鑰,私鑰則僅保存在使用者的裝置端。簡單來說,FIDO是一種線上身分驗證的技術,使用FIDO的好處是不須取得使用者的個資即可登入,對隱私更加有保障,比起傳統輸入帳號、密碼,安全性更高,也能夠讓使用者在登入時更安心。
FIDO應用
使用FIDO能夠幫助使用者不論是透過WEB頁面或行動裝置都可以透過快速執行身分驗證,目前台灣金融有許多家銀行業者也都有使用,例:國泰世華銀行、台新銀行等銀行業者,可以選擇用人臉辨識、指紋驗證的方式進行登入APP或ATM,是相當便民的服務。
無密碼身分驗證的出現,建立使用者擁有更安全的網路環境及用戶體驗,即使是用戶的生物辨識資訊,也不會儲存在應用程式的伺服器上,整體的安全性相對提高許多,使用者也不用記得多組密碼,這樣的便利性讓無密碼身分驗證成為未來的開發主要趨勢。