你也曾經因為忘記密碼造成生活或是工作上的困擾嗎?從創立一個帳號設置密碼的那刻就被系統規定的各種限制、符號、英文大小寫等搞得昏頭轉向,甚至最終就算設定了一組高強度自設密碼也常因為自己記憶力不足而在下次登入的時候又進到忘記密碼的迴圈。雖然現在生物辨識解鎖功能已經日趨進步,你是否也想過如此不便利的驗證系統在未來會被更好的系統取代?
Passkey 是一項新的身份驗證方法,不但可以讓你免去忘記密碼的困擾,更可以避免網路釣魚、詐騙甚至盜刷的問題,不僅提升使用者的體驗感受,更保障了資安問題的強健度。
常見的身份驗證有哪些?
目前,我們日常生活中常見的幾項身份驗證包括傳統鍵入帳號密碼、生物辨識的FaceID 還有近期為了提升安全性而更加廣泛使用的簡訊OTP。
(一)密碼輸入
首先,最傳統依靠輸入自創密碼實行的身份驗證不只考驗使用者的記憶力,最令人詬病的是就是他的資安問題,近期因為疫情關係大家仰賴網路進行工作的模式已成常態,不需要進到辦公室的WFH 工作型態迫使公司需要做出對策,對於許多企業來說辦公用電腦中儲存的資料大多會因為資安考量只限制公司電腦能夠開啟或是存取,如果僅使用傳統帳號密碼即可在家登入工作系統或網頁容易造成機密文件外露或者是遭到惡意程式的入侵導致系統癱瘓。
(二)FaceID
而建立在生物辨識技術產生的FaceID,在口罩不離身的疫情期間可以說是做到了防疫及便民功能,不只是平時解鎖手機不必再使用密碼輸入(強度極低又極容易破解),在金融服務上更是大大提升了使用感受。過去民眾若要辦理金融服務都必須本人親自到場簽章、審核,不過疫情期間為了避免複雜的社交接觸優化了數位帳戶的功能,讓使用者能在家中透過臉部辨識進行身份的確認達到辦理的目的,省去時間又加快效率,由此可見,生物辨識認證系統是趨勢也是未來驗證的潮流,不過並非所有的系統都支援或是適用臉部辨識系統的裝置(未設置鏡頭的桌上型電腦),因此是否有其他方式可以增強安全性將成為資安問題的一大課題。
(三)簡訊OTP
資安問題越來越成為各個行業的重點項目,因此除了密碼登入之外近期浮出的一項替代方案便是「一次性密碼」或是「動態密碼」,顧名思義為一種即時產生的隨機符號串,最常見的媒介就是傳送到個人的手機後再次鍵入進行身份的確認,由於驗證碼為隨機產生的臨時數字又透過個人簡訊收取,因此安全性可以說是比起單純輸入密碼驗證來的高,但是這種類型的驗證方法確實還是有幾項疑慮跟缺點。
首先,由於符號是臨時產生再傳入手機中, 每家電信業者還有裝置存在的位置收訊都會影響收取簡訊的時間,這很有可能導致延遲的問題,除此之外,若使用者人身處國外未使用本國SIM 卡功能便無法成功收到驗證碼,也就是說動態密碼驗證法需要搭配能收取簡訊功能的裝置才能順利作業,最後也是最致命的是,這類型的身份驗證無法有效的降低資料洩漏的風險,原因在於行動裝置非常容易受到惡意程式的入侵跟攻擊,倘若被植入軟體對方便能成功收取你的驗證碼進行非法的使用。
解決良方— Passkey 世界三大廠都來撐腰
網路盛行的今天遇上疫情迎面襲來要面對的各種網路依賴,一天當中除了休閒娛樂的社群軟體之外, 工作上使用到的軟體也不可避免的需要身份的驗證,一天下來有各式各樣的驗證方法要習慣,這也導致衍伸新的「文明病」——密碼疲勞。
特別是因為疫情關係大大改變了你我的生活,從工作到生活都仰賴著網路的時候,個人資料安全便顯得格外的重要,如何在第一道防線上就做足防護確保儲存在網路上的重要資料不遭受傷害?Passkey 即將成為最佳的身份驗證替代品,我們不必再使用一連串的無意義字符作為身份驗證的鑰匙,而是能夠朝向「無密碼時代」前進,少了記憶性的字串,免除個人密碼被盜用也確保遭受惡意程式的竊取跟攔截。
Passkey 除了解決了密碼容易被盜用、使用者忘記密碼的問題,也因為Passkey 幫各個App即網頁各自做了單獨的加密,因此大大提升安全性的疑慮。目前三大廠牌包括蘋果、微軟以及Google 都已經開放部分版本支援Passkey 驗證服務,不過這樣的無密碼認證模式看似方便又安全,仍舊有潛在的缺點,若是使用者遺失綁定好的認證裝置就必須重置Passkey,確保資料的安全。
無密碼時代
無密碼時代的概念最初源自於2012年PayPal 發起的FIDO 聯盟,聯盟宗旨最主要就是希望可以打造一個全新的識別標準解決密碼帶來的種種不便和危險性,截止目前,參與其中的幾個全球性公司包含蘋果、微軟、谷歌和雅馬遜等,可以看出無密碼時代是各家公司當前主推和重視的議題。
由於FIDO 標準及理念已經從過去密碼時代的「你記得什麼?」(倚靠記憶力的密碼串)轉變為無密碼時代的「你是誰?」,在疫情時代下被改變的工作環境更是無法掌握裝置之間訊息的流向,資安問題成為各家公司嚴重的問題;換言之,真正能夠確認身份的只有無可複製的「本人」,也就是說透過生物辨識包含虹膜、聲音、臉部等這種獨一無二的元素去進行驗證時不但省去記憶的困擾,更是大大提升資料安全的強度。
FIDO的運行原理
過去密碼時代的運行規則是將密碼儲存在裝置以及伺服器中,使用者在進行認證的過程只要裝置輸入進的字串與伺服器中的相吻合即可解鎖登入,不過在無密碼時代中伺服器已經不再作為保管的地方,而是單面存於裝置端。
其實,FIDO 聯名在推動無密碼時代的歷程已經有段時間,不過由於一直沒有特別顯著的進展因此市面上還尚未被廣泛討論,像是過去推出的FIDO2 就是一個例子,FIDO2 是透過一個「實體」的金鑰(類似於一個特別的usb)插入裝置中進行身份驗證,雖然解決了密碼疲勞帶來的不便性,不過在安全性上還有不少弊端。直到最近,多裝置FIDO(像是Passkey)驗證法推出後受到不少企業的關注,也支援透過Passkey 驗證法作為主要驗證方式,多裝置FIDO 與前一代最大不同在於Passkey 捨去了實體金鑰的限制,用人人天天攜帶的手機作為驗證裝置,也就是說,過去驗證金鑰需要隨身攜帶一個實體插件,但現在只需要將Passkey 儲存於手機中即可作為實體金鑰的替代品。
Passkey 的推出徹底帶大家從「你記得什麼?」(即使是FIDO2的金鑰也是人們經常忘記的要素之一)轉變成「你是誰?」的無密碼時代,事事都可以忘記的現代人最不會忘記帶出門不是錢包也不是鑰匙,而是那台黏在手上的智慧型手機。
實際運用
健保服務平台、報稅系統都支援FIDO認證
目前台灣其實已經有不少機構採取FIDO 標準為基礎的概念進行身份驗證,從政府於去年2022年起推動的自然人憑證行動化就可看出無密碼認證的趨勢已經橫跨公、私部門。想要使用無密碼認證的用戶僅需於內政部的網頁先以自然人憑證進行註冊過後即可於裝置中登入進行驗證,往後僅需透過搭配的生物辨識功能,包含指紋、臉部辨識等即可免密碼、免插卡的進行登入,目前行動自然人憑證系統已經與報稅系統、健保服務平台等串接,未來將可以利用無密碼的方式操作這幾項服務項目。
另外在民間機構方面台新銀行也率先公布未來將推出金融FIDO ATM 註冊服務,雖然這項服務還尚未實現,不過未來若想開通此功能的用戶僅需以有晶片的金融卡至ATM中插卡進行申請,透過列印下來的專屬QRcode 於有效期間內登入支援金融FIDO 的App 即可綁定生物辨識。
除了上述所說的例子之外,像是日本、德國都已經有不少使用FIDO 認證的案例,像是Yahoo Japan 就提供用戶新的FIDO 驗證法登入帳號,不但減低了登入時驗證等待的時間,也確保了個資的安全性;而德國一家金融機構PLUSCARD 也聯合Netcetera 及Entersekt 共同推出支援FIDO 標準的線上付款服務,讓習慣在電腦等非手機裝置購物的用戶也能使用更安全、便捷的付款方式。