网络服务帐密被盗事件频传,因此,许多大型的网站纷纷提供两步骤验证,为用户帐号提供多一层保护,而目前最常见的做法,是用户在手机上接收验证码再输入电脑,也就是所谓的短信动态密码,然而,近年这种机制也被认为不够安全,还是会遭到网络钓鱼与中间人攻击的风险。
为此,一些大型的网站已改变策略,并且现在还提供了安全密钥的选项,而这么做,就是应用 FIDO U2F 或 FIDO2 的实体安全密钥来登入,使用者可以将一个 USB 硬件,接在电脑上,或是透过 NFC 的连接来近距离感应。
这也意味着,需要搭配物理的实体安全密钥,才能顺利登入网站系统,将能降低帐户被入侵风险。
不过,这项新的安全验证机制,大家仍然感到陌生,主要原因是安全密钥还不够普及,而且,许多系统或用户可能连两步验证都还没启用,更遑论为了帐户安全,还要教育使用者随身携带一个帮助验证的硬件装置。
不过,FIDO 应用的发展态势将在 2019 年有应用加速的迹象,不论是 FIDO 标准或无密码登入的发展,都会比过去五年发展要快速,新的身份验证机制,将越来越常出现在生活周遭。
毕竟,从 FIDO 认证的产品类型来看,包含了三大要素,分别是 FIDO 验证服务器、FIDO 用户端,以及验证器。而现在已有越来越多网站服务,建立了 FIDO 验证服务器,而验证器的普及,也是 FIDO 要快速、大范围推广的重点,随着更多安全密钥工具的形式出现,用户要接受这样的应用也就更为容易。
基本上,现在一般用户在登入网站服务时,要使用免输入密码的 FIDO 应用,将变得更容易一些。例如,现在有开发者提出以手机替代 USB 安全密钥装置的方案,简化硬件携带不便的问题。此外,去年公布的 FIDO2 标准,将促使新一代身份识别在 Web 应用更加广泛,而卡片形式安全密钥装置,也是最新发展潮流,可望受到更多企业关注。
采用 FIDO 登入网站服务有何好处?
在 FIDO 认证机制下,可以使用生物识别技术,以及更强的双因素认证,来达到网络身份识别。到底,登入网络服务不使用密码,有那些好处呢?
答:一、不用再记忆密码
随着越来越多的云端应用,使用者根本难以记住众多密码,一般人应该都有这样的经验。例如,要记住一堆不同的密码,密码每三个月要改一次,还有密码长度与复杂性的要求。
答:二、无需烦恼密码设定不当的问题
由于记忆密码的麻烦,这也使得用户最后的做法,不是设定简单的密码,就是把密码抄下来贴在电脑上,或是使用同一组密码在不同服务上。毫无疑问这些做法都有风险。
答:三、可降低密码外泄与网络钓鱼风险
数据泄露导致大量用户信息、账号密码外流,而针对用户账密的网路钓鱼,更是近年最大宗的攻击手法,例如伪冒成正常的网站,让用户误认而输入帐号与密码,其他还有像是电脑或手机恶意程序,导致帐密数据被侧录等。由于 FIDO 认证机制不再让服务器保存密码,用户登入也无须输入密码,自然也就避免了这类攻击的发生。
微信扫一扫