FIDO聯盟發表新規範以推動憑證可攜

專門推動各種身分驗證標準、以減輕對密碼依賴的開放聯盟FIDO Alliance，周一（10/14）發表了一組新規範，包括憑證交換協定（Credential Exchange Protocol，CXP）與憑證交換格式（Credential Exchange Format，CXF），以推動憑證的可攜，包括通行密鑰（Passkey）與其它憑證。

Passkey是由一組金鑰組成，其中的公鑰用於註冊網站或App，私鑰則是存放在用戶裝置上，於所登入的服務註冊了Passkey之後，使用者即可利用裝置上的生物辨識功能或裝置PIN碼來登入各式服務。Passkey被視為比密碼安全又方便的憑證，不管是微軟、蘋果或Google等科技業者皆已支援Passkey。

FIDO聯盟表示，安全憑證交換是該聯盟的焦點，新的工作草案將能進一步加速Passkey的採用並改善用戶體驗，迄今已有超過120億個網路帳號是透過Passkey存取。相較於傳統密碼或是雙因素身分驗證，採用Passkey登入可減少網路釣魚，消除重複使用的密碼，而且登入速度提升了75%，登入成功率也增加了20%。

只不過，現階段尚無法在不同的密碼管理員或生態系統間安全地移動Passkey，CXP與CXF這兩個規範草案定義了如何將憑證從一個憑證管理員安全地傳送到另一個憑證管理員，確保傳輸不是以明文進行。

此一草案是由1Password、蘋果、Bitwarden、Dashlane、Enpass、Google、微軟、NordPass、Okta、三星及SK Telecom等FIDO聯盟成員所組成的憑證供應商特別興趣小組（Credential Provider Special Interest Group）共同制定，意謂著它們都將加入憑證可攜的行列。