由於密碼使用與管理衍生安全問題,改用無密碼登入的做法日益受到肯定,特別是FIDO標準推出多年後,現在有了多方面的進展,在2023年有三大焦點值得重視,分別是PassKey在全球的興起,臺灣政府與金融業對FIDO的應用正變得越來越廣泛,IoT設備身分識別FDO標準也有新進展。
FIDO標準的重大擴展促成無密碼應用普及,今年PassKey成長可期
這幾年來,FIDO的應用有兩次重大進展,一次是FIDO(Fast Identity Online)聯盟在2018年推出FIDO2標準,其核心的WebAuthn規格被W3C聯盟接納成為正式的Web標準,而在Web應用有統一的標準遵循之下,使得推動多年的密碼登入應用,終於有了進一步普及的可能性。當時,微軟也就已經開始宣告──密碼時代即將終結。
另一次就是現在,目前正迎來第二次轉捩點,將解決實務上用戶體驗不佳的問題,可望促使無密碼驗證變得越來越普及。為何這麼說?讓我們來看看2022年有了那些新突破。
首先,在2022年3月,FIDO聯盟新發布多裝置FIDO驗證(Multi-Device FIDO Credentials)白皮書,對WebAuthn標準提出突破性的修改,有大幅進化,使得無密碼大規模應用有了更多可行性。
更關鍵的發展是,到了5月,包括蘋果、Google與微軟等重要IT廠商,都做出具體承諾,預告對於該標準的擴展,將會在未來一年陸續支援,在此同時,通行密鑰(passkey)一詞也浮現,並成為多裝置FIDO驗證的簡稱,能夠以更方便的方式,在多個設備使用FIDO網路身分識別,並在2022下半年持續成為無密碼登入的焦點。而在上述三家業者中,蘋果對於FIDO標準的支援雖然較遲,但該公司在Passkey的推動早於其他廠商。
根據FIDO聯盟的說明,新的多裝置FIDO驗證,讓使用者登入App或網站時,可透過手機或另一裝置來當作認證器,讓用戶在他們的許多設備都能存取FIDO登入憑證,以及能夠將儲存Passkey的手機當作實體金鑰,登入鄰近裝置上的網站,不論這些裝置是使用何種瀏覽器或作業系統。
換言之,Passkey打破了先前FIDO2 / WebAuthn使用局限,不像過去必須在每個裝置註冊一組金鑰,而且能夠提供更好的跨裝置服務支援。
接下來,在2023年,企業網站端的支援態勢將成焦點。我們認為,隨著蘋果與Google在系統與瀏覽器端,對於Passkey的支援陸續到位,應該會有更多業者開始跟進。
值得注意的是,大家別以為網站服務支援PassKey還需要很久時間!事實上,有些企業展現積極的態度,已做好擁抱Passkey的準備。
根據密碼管理服務業者1Password的統計,在2022年底,支援PassKey無密碼登入的網站服務,已有資訊科技業者微軟、Nvidia、DocuSign,金融服務業者PayPal、Robinhood,電商購物平臺Best Buy、ebay,旅遊服務業者Kayak,以及身分安全供應商如Authgear、Corbado等。至於1Password本身,他們也宣布將會在2023年初提供支援。
還有很多已經支援WebAuthn API的網站與服務,支援PassKey應該也是可以預見的趨勢,無論如何,在這些知名網站服務帶動之下,今年可望有更多業者投入支援,提供更簡便登入網站與統一的用戶體驗。
蘋果在2022年6月的WWDC 2022上,曾率先宣布將新推Passkey,並利用一張表說明與密碼記憶、密碼管理器,以及密碼管理器加上SMS/TOTP相比,Passkey在5個威脅層面(猜密碼、帳密再利用、裝置失竊、網路釣魚、帳密伺服器資料外洩)上的差異與優勢。圖片來源/擷取自蘋果開發者網站
在一個名為Passkeys.dev的網站上,整理了目前裝置與瀏覽器在Passkey支援上的動向(截至2022年12月29日)。 圖片來源/擷取自passkeys.dev
臺灣在公部門的應用正持續擴大,金融FIDO正要起步
另一方面,FIDO標準之前已經受到多國政府看重,除了早期的英國、美國,還有澳洲、加拿大、捷克、法國、香港、馬來西亞、挪威、韓國、瑞典、泰國,臺灣也是積極推動的國家,因為早在2020年,內政部資訊中心就已打造出TW FidO臺灣行動身分識別。
而且,「FIDO台灣分會」也在2021年5月成立,進一步促進了國內的FIDO推動。接著,到了2022年5月,政府推動自然人憑證行動化,結合上述TW FidO,因此,內政部將原有的「Taiwan FidO臺灣行動身分識別」App,更名、升級為「行動自然人憑證」App。
從這樣的發展態勢來看,原本是讓便民服務與公務系統,用於FIDO身分識別技術登入,如今也整合自然人憑證的簽章功能,而能運用在公文簽核;以系統支援數量而言,2022新推的行動自然人憑證,目前有83個機關、127個系統支援,而發展長達18年的自然人憑證,已有700個系統支援。
換言之,隨著政府系統擴大支援行動自然人憑證,這也讓原先的TW FidO應用可以更廣泛。事實上,內政部已經有所計畫,預計2023年底後,支援行動自然人憑證的系統會擴大至400個,還不僅是如此,甚至內政部也要開放政府以外的產業使用,包括金融、電信業。
在民間業者方面,先前臺灣已有金融業者積極導入FIDO,像是中國信託、國泰銀行等,腳步相當快。
而為了促進國內數位金融服務發展,2021年金管會開始推動身分識別標準化機制(簡稱金融FIDO),隨著後續決定採用晶片金融卡,作為消費者開通金融FIDO的憑藉,到了2022年底終於有了成果。
簡單而言,這項應用的最大特色,除了提供基於FIDO標準的安全性,更重要是讓跨機構身分認證得以實現,同時也免除金融客戶在不同金融機構要重複身分驗證作業的現況。
在2022年10月底,已有金融業者率先公布相關消息,例如,台新銀行首先宣布成為「ATM設備代理行」角色,提供金融FIDO ATM註冊服務。關於這項服務,台新銀行表示,目前上線時程未定,將配合主管機關及財金公司的規畫。
不過,他們也簡述了金融FIDO的註冊流程,民眾可持晶片金融卡至台新ATM,輸入密碼進行身分驗證,之後進行相關操作,進而列印出金融FIDO註冊驗證用的QRCode小單子。
之後只要在QR Code有效期限72小時內,在支援金融FIDO的金融機構App上,即可藉由掃描上述QRcode,後續App將引導民眾使用生物特徵的方式註冊金融FIDO。
同時,還有合作金庫也在臺北金融科技展展示合庫「金融FIDO」服務的應用,及整合中國信託ATM「設備代理行」的消息。
儘管距離正式上線還要一段時間,但在2021年5月底,即有121家金融機構共組金融行動身分識別聯盟,因此可預期的是,在多元身分認證方式的推動之下,在2023年會有更多金融機構App與服務項目能支援應用。
金融FIDO應用將於2023年實現
國內推動已久的金融FIDO,在2022年底開始有了進展,台新銀行首先宣布將提供金融FIDO ATM註冊服務,雖然目前服務還未上線,但未來將讓民眾可至台新ATM,以晶片金融卡作為開通金融FIDO的憑藉,並列印出金融FIDO註冊認證用的QRcode。(圖片來源/台新銀行)
FIDO下一步的應用焦點:IoT裝置也要安全連入雲端或平臺
另一關鍵趨勢在於,FIDO標準近年仍持續擴展,特別是IoT領域的應用,在2021年,名為FIDO Device Onboard(FDO)的標準規範發布,當中定義簡易與安全的身分識別,讓IoT裝置在連至雲端或企業內部網路的後端管理平臺,都能以此協定驗證裝置身分。在2022年4月,FDO標準已發布1.1版。
雖然,相較於2014年就推出的FIDO標準,FDO標準顯然才剛剛起步,但這方面也已經取得很好的進展。例如,2022年4月紅帽釋出Fedora Linux 37時,強調支援FDO是一大特色,5月又宣布RHEL 8.6與9.0版將支援FDO標準。
在2022年11月底,FIDO聯盟在年度舉辦的Authenticate Virtual Summit大會,這次也完全專注於保障物聯網安全的議題,就是希望讓更多產業關注物聯網設備認證的強化。
不僅如此,美國國家標準暨技術研究院(NIST)2022年12月5日,也才剛剛發布一份SP 1800-36草案文件,是關於IoT網路層接入與生命週期管理,當中也涵蓋對於IoT裝置連入與驗證的面向。
綜觀上述所有無密碼方面的推動,這也意味著2023年將有更多企業投入或採用,相對來說,民眾也能看到更多無密碼登入的應用。
熱門新聞
2024-12-03
2024-11-29
2024-12-02
2024-12-02
2024-12-03