行動自然人憑證可靠卡感應註冊。
(資料照,內政部提供)
李忠憲/成大電機系教授
傳統以密碼作為使用者登入資訊系統或網路服務的驗證(Authentication)技術時,面臨許多資安風險的挑戰。不但容易受到詐騙集團釣魚手法的欺騙導致密碼外洩外、密碼管理更成為使用者頭痛的議題。為了確保安全,多數的網路服務推薦或強制使用者使用複雜的密碼,但這也增加了使用者遺忘密碼的風險。同時,密碼的存儲方式決定了整體系統的安全性,即使許多現代的服務採用雜湊或加密的方式存儲,資料的洩露仍然可能發生。隨著網路服務日增,使用者面臨著如何管理多組密碼的挑戰,導致他們可能在多個網站上使用相同的密碼,增加被駭客竊取密碼的風險。
為了確保帳號安全,許多企業和組織採用在密碼之外再加上其他因子作為身分驗證的手段。目前最常用的作法為二階段驗證(Two-Factor Authentication),常見的例子有透過簡訊、電子郵件或其他裝置接收一次性密碼(One time password)。兩步驟驗證(2FA)確實增加了帳號的安全性,但在某些情境下,它們仍然可能受到威脅。一個常見的不安全例子為「中間人攻擊」(Man-in-the-Middle, MITM)。在此攻擊中,駭客會攔截使用者和他們試圖訪視的網站之間的網路封包,從而監控所有傳輸的資料。當一個使用者試圖登入一個網站並啟用兩步驟驗證或多因素驗證時,駭客可以即時捕獲這些驗證資訊。當使用者收到簡訊、電子郵件或其他方式提供的驗證碼,並輸入該碼以完成驗證過程時,駭客會同時獲取該驗證碼。這使得駭客能夠利用這些資訊進行未經授權的登入。
為解決上述問題,Fast IDentity Online (FIDO) 聯盟提出了FIDO技術。FIDO透過一組公/私鑰(public/private key)的無密碼(passwordless)做為資訊係統的驗證技術。該技術採用公鑰加密,其中私鑰被安全的保存在使用者的硬體裝置上,而公鑰則被傳遞給線上服務保存。認證過程首先需要使用者在本地裝置上進行如指紋或臉部識別的生物特徵驗證。這意味著即使伺服器被駭入,認證信息也不會洩露,從而避免了傳統密碼驗證技術的諸多風險。
在FIDO標準裡,若將FIDO credential 儲存於最高資安L3等級的硬體金鑰(如USB Token)在身份驗證上的應用,不僅涵蓋了 「what you have」 的驗證資訊(你所持有的東西,如硬體金鑰),同時也涵蓋了「what you are」的驗證資訊(你的生物特徵,如指紋),可有效地對抗釣魚攻擊,達到釣魚免疫(phishing resistant)的效果。這是因為FIDO驗證只允許註冊的裝置與網站建立安全連接,任何未經授權的第三方或惡意網站都無法取得或仿造用戶的驗證資料。
因此,即使有釣魚攻擊者嘗試欺騙用戶,他們仍無法取得用戶的登入權限,從而大幅降低被騙取資料的風險。FIDO依然是一個還在演化的技術、其中一個方向便是強化使用具便利行動裝置,去實現FIDO聯盟提出的Multi-Device FIDO Credentials的構想。透過行動裝置實現FIDO的技術也被稱作Passkey。Passkey為蘋果、Google及微軟提出的產品功能,目的在多台裝置間同步的FIDO Credentials。由手機產生的Passkey,技術上是與傳統FIDO設計類似,主要包含私鑰、公鑰與使用者相關資訊等。但其強化的便利性便會損及其對FIDO Credentials保護的資安強度(L1或L2),而非如USB Token 的L3安全等級。FIDO聯盟特別提醒:「廠商開發的Passkey功能的安全性須由他們自己負責」。
(待續)
不用抽 不用搶 現在用APP看新聞 保證天天中獎 點我下載APP 按我看活動辦法
《自由共和國》來稿請附:真實姓名、身分證字號、職業、通訊地址及戶籍地址(包括區里鄰)、夜間聯絡電話、銀行帳號(註明分行行名)及E-mail帳號。
刊出後次月,稿費將直接匯入作者銀行帳戶,並以E-mail通知。
文長1200字以內為宜,本報有刪改權,不願刪改者請註明;請自留底稿,不退稿;若不用,恕不另行通知;請勿一稿多投。
《自由共和國》所刊文章、漫畫,將於 「自由電子報」選用,不另外奉酬。
Email:republic@libertytimes.com.tw
編輯精選
自由評論網粉絲團