過去12個月以來,如果您及貴企業或機構並沒有成為網路安全攻擊的受害者,只可能有兩種原因。一是您遵循全面且易於使用的安全策略,二是您運氣很好。密碼安全性具備與否是網路安全威脅持續升高的核心因素,許多線上服務供應商仍然並未適當執行有效的驗證措施。如果以更不客氣的方式表示:下一代線上驗證期望提供比單純使用密碼更理想的安全機制,因為即使是最聰明的密碼,在沒有硬體型第二因素的情況下,最終還是會遭到攻擊。

密碼持續存在的問題

大部份線上服務仍以密碼作為第一線防禦措施,可惜密碼通常並不足夠。2016年光是美國地區,就有154萬受害者因為身份詐騙損失160億美元。過去幾年以來,仰賴單因素密碼驗證造成的問題實際上是增加的。根據Verizon 2017年資料洩漏調查報告(Data Breach Investigation Report),去年有81%的攻擊相關資料洩漏事件,可能是由密碼遭竊或容易猜測所造成,高於2016年的66%。

這並不令人驚訝,因為許多使用者仍然不在意是否選擇適當密碼。富比士雜誌(Forbes)指出美國及西歐地區2016年最熱門的密碼,為連續三年榮登寶座的「123456」及「password」。重複將密碼用於不同網站的普遍作法,也代表線上服務安全可能仰賴其他使用相同密碼網站的安全層級。可惜即使使用者選擇獨一無二的強大密碼用於所有帳戶,基於社交工程及精密網路釣魚演算法的緣故,密碼通常仍是安全系統之中最弱的一環。

FIDO聯盟

線上服務供應商需要更強大的驗證形式。雖然部份公司於封閉環境開發專屬解決方案,將使用者「鎖定」在專屬實作之中,無法用於其他平台,不過大部份企業已經合作開發驗證產業標準。

FIDO聯盟就是科技產業對以上發展做出的回應;FIDO聯盟是2013年成立的非營利聯盟,創辦者包括PayPal及英飛凌科技(Infineon Technologies)等企業。FIDO的意思是「Fast IDentity Online」,其規格支援不同驗證技術及通訊標準,目標是建立單一開放標準,提供更強大的驗證功能,在所有FIDO服務運作,也就是以單一裝置支援所有服務。FIDO生態系統能夠提升線上服務安全性,降低企業驗證的部署成本,並提供更輕鬆的消費者體驗。聯盟成立四年以來大幅擴展,目前有250間企業加入其中,涵蓋許多產業部門,其中包括Google、三星(Samsung)、Visa、Docomo、微軟(Microsoft)、亞馬遜(Amazon)及許多其他商業企業及政府組織。FIDO認證解決方案數量在2016年成長200%以上,共有100多家組織提供300項以上產品。

FIDO聯盟已經打造開放產業標準的全方位架構,實現更簡單強大的驗證功能。FIDO規格及認證實現可互通的生態系統,涵蓋硬體、行動及生物識別等類型的驗證器,可應用於各種不同的軟硬體平台、應用程式及網站。FIDO目前提供兩組驗證規格:通用驗證架構(UAF)計畫及第二因素的通用第二因素(U2F)計畫。

20180705_FIDO_NT71P1

使用安全金鑰的優點

現今有許多企業部署FIDO,利用FIDO提供的各項優點,同時於硬體型安全晶片運作。像是 Google、Salesforce、Dropbox、GitHUb、Bitbucket及Sentry等雲端服務供應商,都使用FIDO U2F通訊協定搭配硬體型憑證。擁有20億使用者的Facebook利用安全金鑰這種憑證型的U2F解決方案,將帳戶保護提升至更高境界,非常適合不希望使用電話備份的使用者。越來越多的網頁瀏覽器也支援U2F,包括Googles Chrome及Opera。金融機構、醫療保健組織及企業,也將受益於開放的驗證標準。政府則已經開始著手實作:例如英國政府已經使用U2F驗證,讓英國公民能夠安全存取GOV.UK的驗證公共數位服務。

為什麼要使用需要硬體憑證的解決方案?以下答案將說服更多人仰賴此類解決方案:頻外硬體安全金鑰易於實作、部署及使用,具備私密特性,而最重要的是強化安全性。相較於使用OTP (透過SMS 2FA)或行動電話應用程式的驗證技術,U2F這種硬體型部署速度更快,需要的支援成本也較低。

例如,英飛凌科技推出的三種FIDO U2F Certified參考設計,可快速輕鬆實作FIDO標準用於驗證憑證:英飛凌U2F HID參考設計,V2;SLE78 U2F NFC參考設計及英飛凌U2F BLE驗證器參考設計。英飛凌及其相關產品針對各種應用提供安全產品,非常適合鎖定許多FIDO部署需要的高層級安全性。安全晶片通過Common Criteria認證。

結論

不當密碼及效率不彰的安全政策多年來飽受批評,而雙因素驗證則持續成為推薦用於安全服務的方法。不過其中的危險之處,特別是對企業、金融機構及公共行政機關而言,就是各種專門攻擊行動可輕易繞過薄弱的密碼系統,以及SMS第二因素驗證實作。另一項挑戰則是任何改善此項情況的作法,通常需要犧牲使用者便利性。頻外硬體憑證是以上處境的最佳解決方案。企業及政府使用FIDO開放標準,可透過實作FIDO型驗證解決方案,協助保護使用者對抗日漸增加的線上資產攻擊及威脅。