【2023資安趨勢2：無密碼網路身分識別】無密碼身分驗證朝向普及應用階段

由於密碼使用與管理衍生安全問題，改用無密碼登入的做法日益受到肯定，特別是FIDO標準推出多年後，現在有了多方面的進展，在2023年有三大焦點值得重視，分別是PassKey在全球的興起，臺灣政府與金融業對FIDO的應用正變得越來越廣泛，IoT設備身分識別FDO標準也有新進展。

FIDO標準的重大擴展促成無密碼應用普及，今年PassKey成長可期

這幾年來，FIDO的應用有兩次重大進展，一次是FIDO（Fast Identity Online）聯盟在2018年推出FIDO2標準，其核心的WebAuthn規格被W3C聯盟接納成為正式的Web標準，而在Web應用有統一的標準遵循之下，使得推動多年的密碼登入應用，終於有了進一步普及的可能性。當時，微軟也就已經開始宣告──密碼時代即將終結。

另一次就是現在，目前正迎來第二次轉捩點，將解決實務上用戶體驗不佳的問題，可望促使無密碼驗證變得越來越普及。為何這麼說？讓我們來看看2022年有了那些新突破。

首先，在2022年3月，FIDO聯盟新發布多裝置FIDO驗證（Multi-Device FIDO Credentials）白皮書，對WebAuthn標準提出突破性的修改，有大幅進化，使得無密碼大規模應用有了更多可行性。

更關鍵的發展是，到了5月，包括蘋果、Google與微軟等重要IT廠商，都做出具體承諾，預告對於該標準的擴展，將會在未來一年陸續支援，在此同時，通行密鑰（passkey）一詞也浮現，並成為多裝置FIDO驗證的簡稱，能夠以更方便的方式，在多個設備使用FIDO網路身分識別，並在2022下半年持續成為無密碼登入的焦點。而在上述三家業者中，蘋果對於FIDO標準的支援雖然較遲，但該公司在Passkey的推動早於其他廠商。

根據FIDO聯盟的說明，新的多裝置FIDO驗證，讓使用者登入App或網站時，可透過手機或另一裝置來當作認證器，讓用戶在他們的許多設備都能存取FIDO登入憑證，以及能夠將儲存Passkey的手機當作實體金鑰，登入鄰近裝置上的網站，不論這些裝置是使用何種瀏覽器或作業系統。

換言之，Passkey打破了先前FIDO2 / WebAuthn使用局限，不像過去必須在每個裝置註冊一組金鑰，而且能夠提供更好的跨裝置服務支援。

接下來，在2023年，企業網站端的支援態勢將成焦點。我們認為，隨著蘋果與Google在系統與瀏覽器端，對於Passkey的支援陸續到位，應該會有更多業者開始跟進。

值得注意的是，大家別以為網站服務支援PassKey還需要很久時間！事實上，有些企業展現積極的態度，已做好擁抱Passkey的準備。

根據密碼管理服務業者1Password的統計，在2022年底，支援PassKey無密碼登入的網站服務，已有資訊科技業者微軟、Nvidia、DocuSign，金融服務業者PayPal、Robinhood，電商購物平臺Best Buy、ebay，旅遊服務業者Kayak，以及身分安全供應商如Authgear、Corbado等。至於1Password本身，他們也宣布將會在2023年初提供支援。

還有很多已經支援WebAuthn API的網站與服務，支援PassKey應該也是可以預見的趨勢，無論如何，在這些知名網站服務帶動之下，今年可望有更多業者投入支援，提供更簡便登入網站與統一的用戶體驗。

蘋果在2022年6月的WWDC 2022上，曾率先宣布將新推Passkey，並利用一張表說明與密碼記憶、密碼管理器，以及密碼管理器加上SMS/TOTP相比，Passkey在５個威脅層面（猜密碼、帳密再利用、裝置失竊、網路釣魚、帳密伺服器資料外洩）上的差異與優勢。圖片來源／擷取自蘋果開發者網站

在一個名為Passkeys.dev的網站上，整理了目前裝置與瀏覽器在Passkey支援上的動向（截至2022年12月29日）。 圖片來源／擷取自passkeys.dev

臺灣在公部門的應用正持續擴大，金融FIDO正要起步

另一方面，FIDO標準之前已經受到多國政府看重，除了早期的英國、美國，還有澳洲、加拿大、捷克、法國、香港、馬來西亞、挪威、韓國、瑞典、泰國，臺灣也是積極推動的國家，因為早在2020年，內政部資訊中心就已打造出TW FidO臺灣行動身分識別。

而且，「FIDO台灣分會」也在2021年5月成立，進一步促進了國內的FIDO推動。接著，到了2022年5月，政府推動自然人憑證行動化，結合上述TW FidO，因此，內政部將原有的「Taiwan FidO臺灣行動身分識別」App，更名、升級為「行動自然人憑證」App。

從這樣的發展態勢來看，原本是讓便民服務與公務系統，用於FIDO身分識別技術登入，如今也整合自然人憑證的簽章功能，而能運用在公文簽核；以系統支援數量而言，2022新推的行動自然人憑證，目前有83個機關、127個系統支援，而發展長達18年的自然人憑證，已有700個系統支援。

換言之，隨著政府系統擴大支援行動自然人憑證，這也讓原先的TW FidO應用可以更廣泛。事實上，內政部已經有所計畫，預計2023年底後，支援行動自然人憑證的系統會擴大至400個，還不僅是如此，甚至內政部也要開放政府以外的產業使用，包括金融、電信業。

在民間業者方面，先前臺灣已有金融業者積極導入FIDO，像是中國信託、國泰銀行等，腳步相當快。

而為了促進國內數位金融服務發展，2021年金管會開始推動身分識別標準化機制（簡稱金融FIDO），隨著後續決定採用晶片金融卡，作為消費者開通金融FIDO的憑藉，到了2022年底終於有了成果。

簡單而言，這項應用的最大特色，除了提供基於FIDO標準的安全性，更重要是讓跨機構身分認證得以實現，同時也免除金融客戶在不同金融機構要重複身分驗證作業的現況。

在2022年10月底，已有金融業者率先公布相關消息，例如，台新銀行首先宣布成為「ATM設備代理行」角色，提供金融FIDO ATM註冊服務。關於這項服務，台新銀行表示，目前上線時程未定，將配合主管機關及財金公司的規畫。

不過，他們也簡述了金融FIDO的註冊流程，民眾可持晶片金融卡至台新ATM，輸入密碼進行身分驗證，之後進行相關操作，進而列印出金融FIDO註冊驗證用的QRCode小單子。

之後只要在QR Code有效期限72小時內，在支援金融FIDO的金融機構App上，即可藉由掃描上述QRcode，後續App將引導民眾使用生物特徵的方式註冊金融FIDO。

同時，還有合作金庫也在臺北金融科技展展示合庫「金融FIDO」服務的應用，及整合中國信託ATM「設備代理行」的消息。

儘管距離正式上線還要一段時間，但在2021年5月底，即有121家金融機構共組金融行動身分識別聯盟，因此可預期的是，在多元身分認證方式的推動之下，在2023年會有更多金融機構App與服務項目能支援應用。

金融FIDO應用將於2023年實現
國內推動已久的金融FIDO，在2022年底開始有了進展，台新銀行首先宣布將提供金融FIDO ATM註冊服務，雖然目前服務還未上線，但未來將讓民眾可至台新ATM，以晶片金融卡作為開通金融FIDO的憑藉，並列印出金融FIDO註冊認證用的QRcode。（圖片來源／台新銀行）

FIDO下一步的應用焦點：IoT裝置也要安全連入雲端或平臺

另一關鍵趨勢在於，FIDO標準近年仍持續擴展，特別是IoT領域的應用，在2021年，名為FIDO Device Onboard（FDO）的標準規範發布，當中定義簡易與安全的身分識別，讓IoT裝置在連至雲端或企業內部網路的後端管理平臺，都能以此協定驗證裝置身分。在2022年4月，FDO標準已發布1.1版。

雖然，相較於2014年就推出的FIDO標準，FDO標準顯然才剛剛起步，但這方面也已經取得很好的進展。例如，2022年4月紅帽釋出Fedora Linux 37時，強調支援FDO是一大特色，5月又宣布RHEL 8.6與9.0版將支援FDO標準。

在2022年11月底，FIDO聯盟在年度舉辦的Authenticate Virtual Summit大會，這次也完全專注於保障物聯網安全的議題，就是希望讓更多產業關注物聯網設備認證的強化。

不僅如此，美國國家標準暨技術研究院（NIST）2022年12月5日，也才剛剛發布一份SP 1800-36草案文件，是關於IoT網路層接入與生命週期管理，當中也涵蓋對於IoT裝置連入與驗證的面向。

綜觀上述所有無密碼方面的推動，這也意味著2023年將有更多企業投入或採用，相對來說，民眾也能看到更多無密碼登入的應用。