Apple、Google 和 Microsoft 聯手擴大支援無密碼登入,打造更安全的網路世界

程安如

Apple、Google 及 Microsoft 於 5 月 5 日一同宣布將擴大支援 FIDO 及全球資訊網聯盟(World Wide Web Consortium) 的無密碼登入方式,讓用戶憑藉手機,就能登入 App 或網站上的帳號,無需再透過密碼來驗證身份,三大科技巨頭的合作使用戶朝著無密碼的網路世界前進一步。

無密碼驗證讓用戶憑一支手機,即可登入各種帳號

FIDO(Fast Identity Online),是由各大科技公司共組而成的資安聯盟,成員包括 PayPal、Lenovo 等,其宗旨是讓身份認證步驟能更加安全。目前聯盟共有 3 條協議,其中最新的協議是與全球資訊網聯盟一同組成的 FIDO2,協議的內容是讓用戶在各大瀏覽器上可以無密碼的方式認證身份。

透過 FIDO 聯盟,用戶可採用其認證密碼 Passkey 登入,將手機作為主要認證裝置,並以輸入 PIN 碼、圖形解鎖或指紋辨識等方式,登入身邊各平台和裝置的帳號。

而 Apple、Google 以及微軟對 FIDO 的擴大支援,將使 Chrome 等瀏覽器及 Apple 的各項裝置,未來皆開放用 Passkey 登入,加速無密碼驗證的普及,美國網路安全暨基礎設施安全局局長厄斯特莉(Jen Easterly)稱此次合作為「資安的重要里程碑,讓用戶不再仰賴密碼。」

無密碼認證提升了便利性也兼顧了安全性,對用戶而言,不再需要為不同帳號記下各種的密碼組合,也不必承擔所有帳號使用同一密碼的風險。而資安層面,因需要拿到用戶的實際的驗證裝置才能登入,駭客較無法輕易進入帳號,同時,釣魚網站詐騙也較難以騙取用戶的登入方式。另外,FIDO 聯盟的協議皆是基於「公開金鑰加密」,也就是登入的驗證資料是存於用戶的私人裝置上,而非伺服器,用戶驗證身分後將先解開裝置上的私鑰,才會進一步解開伺服器上的公鑰,這確保了私密的資訊將不會與伺服器共享。

密碼成資安一大隱憂,身份辨識技術的發展有望迎來無密碼時代

「建立一個更安全且能消除密碼脆弱性的登入方式,是我們重要的任務。」Apple 平台產品行銷資深總監 Kurt Knight 表示。

密碼一直是驗證身份的主要管道,但關於其安全性的疑慮也一直存在,資訊顧問公司 Gartner 就曾預測 2022 年將有 60% 的全球大型企業採用無密碼認證。使用密碼的主要資安問題是被駭入的風險,根據 Last Pass 的部落格,80% 的駭客入侵事件與密碼息息相關。若用戶又在各個網站、平台使用同個密碼,就容易導致骨牌效應,造成多個帳號被入侵。如果用戶選擇使用不同密碼或高強度密碼作爲保護,但為求便利性,而將密碼存於瀏覽器上,這也大幅提升遭入侵的風險。

除此之外,疫情使在家上班普及化,工作需透過各種作業系統在雲端完成,若職員需要多組密碼才能取得資料,公司 IT 部門就可能要花許多時間在密碼的維護與管理上,同時也增加密碼外流的風險,將公司資料曝於危險之中。

為了降低身份驗證被惡意侵入的風險,更加安全的辨識技術在持續發展中,像是將影片元素結合生物識別技術(Video-based Biometric User Authentication),讓用戶在以做臉部識別時,除了偵測臉部特徵外,也可即時捕捉臉部動作,以此來識別更多臉部的生物標記(Biomark),增加身份辨識的精確度。

密碼的世代即將成為過去式,隨著各項身份識別的科技發展,用戶未來將能走入一個真正不再仰賴密碼的世界,登入也將成為更安全的步驟。

資料來源:The VergeTechCrunchGlobal Banking & Finance ReviewCIO

更多報導
永豐、中信攜手推 QR Code 跨行無卡提款,背後策略是什麼?
被疫情耽誤的金融數位化!純網銀來勢洶洶,傳統金融業挫勒等?
改變傳統金融風控方式!資安防護觀念從過往的滴水不漏進化為「快速復原」