隨著今年FIDO2身分驗證標準推出,在2019年將有線上服務商開始採用新的身分識別機制,例如,即時通訊Line公司就是一例。(圖片來源/Line)

隨著網路應用越來越多,要記住自己的身分、密碼,是每個使用者都在面對的困境。多年來,以密碼為身分驗證的方式,也衍生出密碼管理的問題,不僅是易於暴力破解的弱密碼,同一組帳密用在多個網站平臺的問題更是嚴重,今年已有多家資安公司指出,自動化的帳號密碼填充攻擊(俗稱撞庫)手法,就是使用大量外流的電子郵件與密碼來嘗試入侵。

今年,刑事警察局偵查第九大隊也曾偵破一起網路銀行盜轉集團案,是犯罪分子利用不法取得的個資,用來猜出用戶Google帳戶密碼,並找出個資與金融往來資料與密碼,再致電銀行客服變更聯絡電話,以便之後進行網路銀行盜轉。當然,這其實也突顯出,個資、帳密外洩與身份識別上的種種問題。

不僅如此,針對帳號密碼而來的網路釣魚威脅,多年來也不曾停歇,用戶密碼遭竊問題層出不窮。在趨勢科技最近公布的2019攻擊趨勢,也指出釣魚惡意網域將再創高峰,因為該公司今年已經阻擋2億多筆網路釣魚相關的連結網址,較2017年成長3倍,並預測2019年將更嚴重。而且,網路釣魚手法上也變得更多元,除了使用傳統郵件管道,也有入侵網路紅人的社群帳號等方式,騙取粉絲前往已植入惡意程式的網站。

值得注意的是,隨著兩階段驗證逐步被民眾接受,傳送驗證碼的方式也變得多樣,不過近年常用的簡訊OTP的機制,其實也存在中間人攻擊,且依然受到網路釣魚的威脅,對此,美國國家標準技術研究院(NIST)在2016年的數位身分認證指南中,已經建議企業不要再透過電信系統的簡訊與語音的方式,執行二階段驗證。

透過生物辨識與安全模組,讓網路服務的線上身分識別更進步

由於傳統密碼的安全性還不夠完善,與用戶記憶上的問題,也讓我們近年不時聽聞應徹底拋棄密碼的聲浪,而採用新世代身分識別。

從發展多年的生物辨識技術來看,不只是人臉辨識技術大爆發,近年在智慧型手機的應用也蓬勃發展,而在AI演算法、感測元件、硬體的不斷進步之下,指紋、人臉與虹膜辨識已經隨處可見,為用戶帶來簡化操作的便利性,而且,現在的指紋辨識技術,也已經演進到實作於手機螢幕層,而人臉辨識也朝向活體偵測發展。

同時,對於線上服務身分識別,其驗證方式與架構也在進步,近年FIDO聯盟與其他供應商合作打造公開標準,不只是單純結合生物辨識,或是USB、藍牙、NFC的實體金鑰,整個架構也是從設計一開始就將安全納入考量。例如,基於公私鑰配對的非對稱加密體系,密鑰會保留在設備上,沒有伺服器端共享機密可竊取,同時,協議中不存在第三方,進行生物識別時,資料憑證不離開終端設備,而且,服務或帳戶之間沒有可連接性。

更重要的是,今年冒出頭的FIDO 2身分驗證標準,是重要進展。其中的W3C的網路驗證Web Authentication(WebAuthn),以及客戶端至驗證器協定Client to Authenticator Protocol(CTAP),這兩項核心規格在2018年正式底定,並成為W3C聯盟、ITU國際電信聯盟等國際標準制定機構的正式標準,也意謂著全新的身分認證時代正式來臨。

簡單來說,WebAuthn定義的標準化Web API,可建立於瀏覽器或相關網路平臺架構;CTAP則允許電腦、手機搭配WebAuthn或是實體金鑰,作為桌面應用程式,或是網路服務的身分驗證器。此外,FIDO認證還將搭配行動端認證器的硬體安全模組,如TPM、SE、TEE等機制,做到驗證金鑰的存放與保護。

2019年將有網路服務商與金融業,在臺提供基於FIDO的驗證

關於線上身份識別FIDO認證的最大特色,就是裝置端的身分識別,以及線上身分識別的相互結合,並採非對稱公鑰私鑰來提供安全的保障。因此,不只是單純的讓生物識別取代密碼輸入,整體架構也是在一開始就將安全納入考量。(圖片來源/FIDO聯盟)

而新的身分認證標準,將在2019年正式開始部署。其實,臺灣今年已有企業願意採用FIDO標準來提升服務品質與體驗,據了解,國內已有一家銀行與證券業的公司正在導入。

在國際間,微軟、Google、Facebook也是該聯盟主要成員,並有一些網路服務供應商的腳步更是積極,像是Yahoo Japan在9月通過UAF與FIDO2認證,而Line身分驗證伺服器,也在2018年底通過UAF、U2F與FIDO2認證,並宣布成為全球第一個FIDO通用伺服器認證的服務供應商,預計要在2019施行此機制,提供用戶可以有更方便、更安全的使用體驗。

無論如何,網釣攻擊、帳密外洩事件持續在2018年造成極大危害,2019年情勢預估也將更嚴峻,而新世代線上身分識別正在起步,預計將有更多業者採用。對於使用線上服務的用戶而言,少了手動輸入密碼的步驟,不僅減少密碼被竊取的機會,也能避免用戶遭到釣魚網站的攻擊。

熱門新聞

Advertisement