駭客竊取使用者帳號及密碼,從外部登入企業網站或是服務平台,這樣的情形每天都在發生。不僅造成使用者個資外流,同時也導致企業重要資訊被竊取,更嚴重打擊服務平台的形象。
FIDO(Fast Identity Online)系統是一種旨在改善和加強網絡身份驗證的創新技術。這項技術為現代數位身份驗證帶來了前所未有的安全性和便捷性。FIDO的目標是解決傳統密碼身份驗證所存在的安全風險和不便之處,它致力於建立更可靠、更高效、更便利的身份驗證標準。
過去,傳統的密碼身份驗證方式擁有不少的問題。密碼往往容易被遺忘、竊取或破解,這些問題會造成使用者資料安全的危害。FIDO系統會解決這些問題,並為使用者提供更安全、更便捷的身份驗證方式。
FIDO系統的核心技術包括生物識別技術、硬體安全密鑰 (security key) 以及公鑰加密 (public-key cryptography)。生物識別技術利用使用者獨有的生理特徵(如指紋或臉部辨識等)進行身份驗證,這些特徵獨一無二,不易仿冒,提供了更高水準的安全性。硬體安全密鑰是一種基於硬體的安全設備,用於存儲和保護使用者的身份驗證資料,有效防止這些資料被竊取。公鑰加密技術通過公鑰和私鑰來進行資料加密和解密,確保在線數據傳輸的安全性。
FIDO系統的優勢之一在於其開放性和標準化。FIDO聯盟 (FIDO Alliance) 制定了一系列開放標準和協議,使得各種設備和應用程式都可以支持和使用這些安全技術。這樣的標準化使得FIDO系統可以更廣泛地應用於各種不同的網絡環境中,提供了一個統一和安全的身份驗證解決方案。
透過FIDO系統,使用者可以通過生物識別、硬體安全密鑰等方式進行身份驗證,離開過去對傳統密碼的依賴。這樣的身份驗證方式不僅更為安全,還更加便利,使得使用者可以更輕鬆地在線上進行各種操作。
FIDO系統在當今數位時代的重要性日益凸顯。隨著各種科技和金融機構紛紛加入FIDO聯盟,未來將會有更多的應用場景和創新技術將進一步推動身份驗證安全的發展。通過FIDO系統的不斷完善和擴展,我們見證了一個更安全、更便利的網絡世界的到來。
現在,最新的FIDO標準叫做FIDO2,更是進一步加強了網絡身份驗證的安全性和便利性。它讓用戶可以用更簡單、更安全的方式登錄各種網站和應用程式,而不必擔心密碼被盜或遺忘的問題。FIDO2可以透過行動設備來進行在電腦上以及行動設備的認證。
FIDO於零信任資安應用
數位發展部數位產業署推動了「112 年零信任資安場域實證獎勵計畫」,透過此計畫,鼓勵具有零信任解決方案研發能力的資安廠商,聚焦於數位發展領域(如電商、數位內容、資訊服務等等)導入領域型資安解決方案,提升廠商的資安防禦能力,同時展現具市場價值及產業擴散效益之產品技術。
此計畫吸引了許多台灣資訊安全廠商報名參加,並將其資安解決方案確實投入相關產業的廠商,幫助本土企業資安升級,更能抵禦來自外部的不安全登入與攻擊。
凌網科技與HyRead 電子書平台以及數聯資安與露天市集,於此計畫對他們的登入方式開始引用FIDO或FIDO2的認證機制。
HyRead 電子書平台的服務範圍廣大,除了一般消費者,還有圖書館的讀者。凌網科技高承億副總經理說明:「HyRead 電子書平台與每個合作的圖書館介接認證讀者帳號,因此讀者可以直接使用圖書館證號及密碼登入 HyRead 電子書平台借書、看書;電子書店則提供自由的會員註冊登入機制,消費者可自行註冊登入在書店購買電子書或雜誌。」這個機制因為帳號密碼機制,造成資安隱憂;高副總經理也表示因為大部分的使用者都沒改過密碼,使用者的資料遭受駭客竊取的風險比較高,一旦使用者資料被竊,很有可能資料被外流,進一步也會造成更多詐騙案的發生。
凌網科技為HyRead引入零信任架構中的 FIDO2 身分認證機制來防範駭客非法入侵,結合生物特徵鑑別,幫助使用者更快速便利登入HyRead系統,同時免去填寫密碼的麻煩,也避免了密碼外流的可能性。此零信任身份鑑別已經於 HyRead 電子書店使用,接下來凌網科技將持續與圖書館合作,把整合零信任身份鑑別機制導入各個電子書圖書館,並優先以公共圖書館及大專院校圖書館進行導入。
露天市集有 1700 萬位會員,因此更改登入方法也要注意不要讓使用者覺得登入比較麻煩。露天市集新的登入方法採用 FIDO 標準為基礎,以及更安全便利的 Passkeys 密碼金鑰。露天市集營運長楊淑宏表示,此方法也是近期 Google、Apple、微軟各大廠紛紛導入的無密碼驗證方式,更說明透過Passkeys登入可以讓登入速度比密碼快40%。
針對導入成果,露天市集總經理曾薰儀表示滿意:「使用 Passkeys以指紋或是臉部辨識進行驗證,作為露天市集下一階段會員登入的新服務模式,大大減少過去採用 OTP 驗證產生的障礙跟困擾。另一方面,我們也很感謝數位發展部數位產業署能夠有這樣的補助計畫,讓我們有機會參與,讓台灣的電商資安更健全。」
工研院2023資安產業日 CyberDay活動
數位發展部數位產業署專責推動數位賦能的相關應用,協助產業運用數位科技因應數位時代的機會與挑戰,進行數位轉型及提升韌性,特於112年11月24日(五)假資安暨智慧科技研發大樓,舉辦數產署資安年度盛會【2023 資安產業日 CyberDay 2023】,藉以展示本署在資安產業、產業資安、技術研發、人才培育等執行成果,並期許成為資安供需雙方之交流與媒合舞台,共同推動國產資安成長發展,歡迎資安業者、南部產官學研、軍民通用相關業者、一般民眾、國防/軍方、企業資安主管、企業代表-資安需求方、各大專院校資安人員參加此活動。
回到上一頁