你會不會覺得各種登入作業的密碼設定要求愈來愈複雜?尤其是在遠端/在家工作頻率大增的2020年,更讓人覺得需要驗證身分的裝置、網站、應用程式愈來愈多,密碼實在難以記全?沒錯,根據一項跨越六國中大型組織共750位IT及安全專業人士所作的密碼驗證調查報告顯示,他們管理組織內使用者的密碼和登入資料的時間,2020年已達每週五小時,比2019年的每週四小時增加了25%。
在95%受訪IT人員表示使用密碼(尤其是重複使用同一密碼)具有風險的情況下,92%的受訪者相信:無密碼的身分驗證才是真正簡便的安全之道。
近年來無密碼身分驗證技術最重要的發展,一是多元的身分認證,如透過指紋、指靜脈、掌形、臉部掃描、虹膜掃描、語音等身體特點確認身分;二是讓密碼的保存和驗證權回歸終端裝置的使用者,執行身分確認的伺服器端只處理相對應的公鑰,不再與使用者「共享身分的秘密」。2012成立的非營利性產業聯盟FIDO(Fast Identity Online)所推動的標準機制,就是實現上述目標的主要協定。
簡單來說,FIDO標準的主要關鍵是身分驗證在裝置端進行,搭配非對稱公鑰私鑰架構,來與線上身分識別相結合,同時,由於FIDO也涵蓋了生物辨識技術以及硬體安全模組的搭配,因此能夠同時強化便利性與安全性。FIDO努力之處,在將廠商各自為政的身分驗證方法,整合成一個統一、讓各種網站和行動服務之間共同享有一套開放且互通的身分認證制度。
FIDO於2014年同時公布了以行動裝置的免密碼輸入認證為主的《FIDO 1.0標準:通用認證框架》,以及強化雙因素認證的《通用第二因素框架》。到了2018年公布的FIDO2時,除新增以Web應用和瀏覽器為主的驗證方式之外,因獲得全球資訊網協會(W3C)與國際電信聯盟(ITU)等國際組織納入其標準,使得FIDO的應用範圍更大、速度更快。
如今FIDO標準已受到蘋果、亞馬遜、Google、微軟等國際知名大廠、網路服務商、金融機構、政府組織的支持。2020年年初,臺灣網路認證(TWCA)推行台灣行動身分識別(TW FidO),中國信託、國泰世華等銀行現已有網銀App支援FIDO,金管會籌組的金融行動身分識別聯盟F-FIDO也預計於2021年8月完成。
最後,發展生物辨識技術近50年的NEC認為,行為(Behavioral)生物識別是下一個重要趨勢。傳統的生物識別技術使用靜態生物識別標記,而行為生物識別則分析使用者與行動裝置互動的方式。它將互動資訊與使用者設定檔或「行為指紋」比較,區別其中的高風險和低風險互動行為,進而識別可疑的詐欺或惡意事件,不但增加生物辨識的精確度和應用範圍,也進一步提高使用者的便利性。
<本文作者:何彥明現為NEC台灣技術長>