【FIDO網路身分識別2】避免網路密碼遭竊與盜用,網路身分如何認證?

$999,999.00

Report problem
Processing your request, Please wait....

在2018 FIDO臺北研討會上,歐生全副總經理黃啟峰分享了數位化時代的認證機制發展,關於使用密碼安全的問題,業界也不斷推動許多的因應措施,近年還有兩步驟驗證、雙因素認證等,而從最新的發展趨勢來看,朝向的目標就是強式多因素驗證,以及無密碼驗證。

綜觀這幾年來,資料外洩事件頻傳,當中已經包含大量的帳號、密碼,而針對帳號密碼的網路釣魚攻擊,威脅也越演越烈。對於如何杜絕帳密外洩與盜用的風險,還有使用者密碼記憶不易的問題,FIDO標準的作法,已成為當今公認的一個可行解決辦法。

簡單來說,FIDO標準最重要的關鍵,就是身分驗證是在裝置端進行,搭配非對稱公鑰私鑰架構,來與線上身分識別相結合,不僅如此,FIDO還能涵蓋生物辨識技術,以及硬體安全模組的搭配,這也是能進一步強化便利與安全的主要原因。

在這樣的架構下,風險將分散在裝置端,而不是集中在伺服器端。過去企業網站一旦被攻破,可能就造成幾百萬以上的帳號密碼外洩,現在FIDO的認證伺服器不保管任何的秘密,也就杜絕了此一威脅發生的可能性,即便伺服器被攻破,也只是不能登入,但身分不會被竊取。

若是駭客要針對用戶裝置一個個進行入侵,也會變得相當麻煩,而且,對於金鑰儲存的安全性,在FIDO規範下,也將有不同層級的防護規範。

在安全性方面, FIDO的發展更是與生物辨識、硬體安全息息相關,例如生物辨識的準確性,以及儲存的金鑰是否受到安全的保護。

因此,FIDO聯盟會員的組成也反映了這股趨勢,不只是要應用的雲端服務商需支援FIDO,也包含了從晶片、設備與生物特徵解決方案業者,這其實需要相關生態的完整配合,才能達到更高安全的目標。

一般而言,談到生物辨識系統的準確性,有兩個關鍵的參數值得注意,一個是錯誤接受率(False Acceptance Rate,FAR),這是指非法使用者異常通過身分辨識的比率,也就是應拒絕卻未拒絕,另一個是錯誤拒絕率(False Rejected Rate,FRR),是指合法使用者無法正常通過身分辨識的比率,也就是應接受卻未接受。

另一方面,還要看的是生物特徵如何儲存與保護,這需要搭配安全的硬體設計,才能幫助FIDO進一步增強加密金鑰的存取保護。

因此,FIDO標準對於FIDO用戶端驗證器,也制訂了4個安全層級標準,像是Level 1、Level 2、Level 3與Level 3+。簡單來說,數字越大代表安全性越高,最基本可以純軟體形式提供,若要達到更安全的層級,將可搭配TEE、TPM、SE等硬體安全模組,做到私鑰的安全存取保護。

這也讓服務提供商視安全層級的不同,而提供相應的保護,譬如說,第三方支付需要TEE的配合,若是更高一級,還需要搭配SE,以保護終端上的各種惡意威脅。

這幾年來,國際間已經有大型雲端業者及金融業,提供支援UAF與U2F驗證方式的服務。

例如,在金融業有美國銀行、在線上金流有Paypal、而在電信業,則是NTT Docomo,皆已為其行動服務提供支援UAF的身分驗證。基本上,生物識別的方式可包括臉部、聲音、虹膜與指紋辨識等,將隨服務商的提供、行動裝置內建的應用,而有不同。

另一方面,一些雲端服務大廠提供了多元的身分驗證,並在兩步驟驗證中,已經增加U2F驗證協定的支援,像是Dropbox、Facebook、GitHub、Google、Salesforce等。也就是說,上述這些服務,已經能夠支援使用者以實體安全金鑰(Security Key)的裝置,來登入帳號。

舉例來說,Google在2014年就開放U2F的支援,使用者登入他們的服務時,只要接上如USB形式的U2F實體安全金鑰,依指示碰觸一下該硬體的按鈕,就可以通過驗證存取服務。但如果是連到假冒的Google網站,就無法通過,這將更能確保用戶密碼,不會被網路釣魚手法取得,而這也是U2F明顯的一大優勢。

甚至,近年Google在企業內部也採用了U2F的硬體安全金鑰,以保護員工免於受到網路釣魚攻擊。根據KerbsonSecurity指出,Google自2017年已有8萬5千名員工採用,以取代傳統密碼輸入與動態密碼。而且,該公司去年還以自家的Titan Security Key對外販售,同樣引起了不小的話題。

參考資料來源: https://www.ithome.com.tw/news/128566

若您對此解決方案有興趣,想採用卻不知道該何去何從?
SafeNet Authentication Service SAS雲端驗證是您的最佳選擇!

欲詳細了解產品資訊請拜訪:
正新電腦 http://www.pronew.com.tw

網址http://www.pronew.com.tw