FIDO 是什麼？無密碼時代的來臨 - HENNGE

FIDO 是指由同名的非營利組織FIDO 聯盟所訂定的一套網路識別標準，意在確保登入流程中伺服器及終端裝置協定的安全性。

而這套識別標準透過公開金鑰 ... FIDO是什麼？無密碼時代的來臨 Sep14,2021 分享 在如今的網路世代，人人都有許多線上帳號。

而隨著帳號盜用事件的層出不窮，各界也開始對資安日趨重視，傳統以帳號密碼驗證身份的方式已不再是科技巨擘們眼裡最安全可靠的登入途徑了。

就在網路日漸發達、雲端軟體服務四起以及科技日新月異的背景之下，造就了新世代的網路識別標準FIDO（FastIdentityOnline）的問世。

然而FIDO究竟是什麼？它的特別之處在哪裡？無密碼驗證又意味著什麼？以下就帶您一同來了解。

圖片來源：FIDO官方網站 FIDO是什麼？ FIDO是指由同名的非營利組織FIDO聯盟所訂定的一套網路識別標準，意在確保登入流程中伺服器及終端裝置協定的安全性。

而這套識別標準透過公開金鑰加密（PublicKeyCryptography）的架構進行多重因素驗證（MFA）以及生物辨識登入來強力且嚴密地保護雲端帳號的個資。

FIDO聯盟的起源 在深入了解FIDO之前，先讓我們來淺談FIDO聯盟的起源吧！根據FIDO官網以及SearchSecurity文章當中的記載，FIDO聯盟的成立要追溯到2007年，現今全球知名的第三方支付平台PayPal當年正為了軟體資安的把關，致力於推行一次性密碼（OTP）給其用戶。

然而由於當時民眾普遍對於資安意識的薄弱，OTP的採用率在當時並不高。

而後在2009年，研發指紋辨識的維立科技（ValiditySensors）向PayPal探討以指紋辨識的科技來登入服務的想法及可能性，這也激發出了兩家公司認為業界需重視資安議題，訂定一套更嚴密的身份識別標準的資安意識。

於是FIDO聯盟便於2012年成立了，成員公司PayPal、Lenovo、ValiditySensors等科技巨擘攜手引領了無密碼登入的創新思維，隨後也陸續吸引了Google、微軟、NTT等知名科技公司加入，成員總數也在2016年超過了260家公司，並且持續秉持著三大原則：便於使用（easeofuse）、隱私安全（privacyandsecurity）以及標準化（standardaization）。

FIDO為什麼比較安全？ FIDO所提倡的標準究竟特別之處為何？如何能使它較傳統的登入方式安全呢？其最大的特色在於FIDO所有的協定都是建立於公開金鑰加密（PublicKeyCryptography）之上，這樣的架構也能使「伺服器端將不再保管祕密」。

在傳統密碼的驗證架構中，使用者的終端裝置與伺服器之間互相都知道帳號與密碼，或是以密碼產生的雜湊函式來驗證。

另一方面，FIDO則是採用公開金鑰基礎架構的驗證模式，在FIDO認證伺服器端（FIDOAuthenticationServer）只保存相對應的公鑰，而私鑰則僅保存在使用者的裝置端，因此使用者在登入時只需提供個資給終端裝置解鎖私鑰，再透過這個步驟解鎖公鑰進行登入。

簡單來說，使用者的機密個資可以不再集中於雲端服務的伺服器上管理，而是採用分散式處理的方式將個資分別存放在使用者的終端裝置上，再透過公鑰及私鑰的架構來登入雲端服務。

這麼一來，使用者的個資就不必被上傳到雲端，除了能有效保護資料，也能讓使用者在登入的過程中更放心。

圖片來源：FIDOTechnicalWebinar 而這樣的公開金鑰架構分別應用在FIDO的三大認證協議上，分別為FIDOUAF、FIDOU2F以及FIDO2。

根據FIDO的官網，以下為您做了簡單的摘要。

FIDOUAF UniversalAuthenticationFramework--UAF是指透過結合生物辨識等認證途徑，提供使用者順暢的無密碼登入體驗。

透過安裝在裝置上的FIDOUAF堆疊（stack），使用者可以選擇在終端裝置上透過指紋辨識、聲音辨識、輸入個人識別碼PIN等方式進行線上登入，擺脫傳統輸入冗長密碼的流程。

圖片來源：FIDOAlliance FIDOU2F UniversalSecondFactor--U2F（在FIDO2頒佈後被歸納為CTAP1）則是支援雙因素驗證。

使用者除了輸入自己本身的帳號密碼外，必須另外再提供第二個驗證因素來證明自己的身份，而這些外加的第二因素包含了近距離無線通訊NFC（NearFieldCommunication）、藍牙低功耗BLE（BluetoothLowEnergy）感應，或是輕觸外觀像USB的安全金鑰硬體裝置，讓登入過程多一層把關及保護。

圖片來源：FIDOAlliance FIDO2 FIDO2是三大認證協議當中最新的一條協議，是由全球資訊網協會（W3C）的網路驗證規格（WebAuthentication，WebAuthn）以及FIDO的客戶端至驗證器協定（Client-to-AuthenticatorProtocols，CTAP）所共同組成的。

其內容除了綜合無密碼登入以及雙因素驗證，它最大的特色在於結合了WebAuthn後對於各大瀏覽器的支援。

FIDOAlliance表示WebAuthn在2019年三月被指定為正式的網頁標準，目前除了支援Windows10以及Android平台之外，也支援GoogleChrome、MozillaFirefox、MicrosoftEdge以及AppleSafari等網頁瀏覽器。

這樣的協議能讓使用者再更多的平台及裝置上透過FIDO標準進行身份驗證，拉開無密碼時代的序幕。

圖片來源：FIDOAlliance 無密碼驗證的趨勢 近年來，隨著智慧型手機的普及以及各式軟體的進步，我們愈來愈仰賴透過網路上辦的帳號來完成生活上的大小事。

以台灣的線上支付為例，根據金管會的調查，截至2021年四月台灣的電子支付使用人數已多達將近1,315萬人，和同年三月份的1,282萬人相比，僅在一個月內便多出了33萬人。

不在話下，資訊外洩的風險也隨之攀升。

而在愈來愈多人將自己這樣的機密個資託付給網路雲端系統的同時，傳統密碼登入的方式除了容易讓使用者搞混之外，也具有容易被駭客竊取的高風險。

能夠透過最直覺又最安全的方式登入是我們該努力的方向。

FIDO識別標準的存在除了意義重大外，更具有新世代資安變革的象徵性。

載入中... 喜歡這篇文章嗎？歡迎分享出去！ 分享 WRITTENBY PhoebeLee 回到HENNGETaiwan部落格首頁 透過存取控制讓IT系統更有效地上線 Dec21,2021 所有的商業活動都是由一連串的業務流程所組成的。

隨著公司內部使用的軟體程式越來越多，IT人員所需要做的設定更多了。

雖說HENNGEAccessControl是資安的解決方案，但它同時也能提高IT部門的工作效率，在公司的IT管理及維護上助一臂之力。

ISO27001（ISMS）是什麼？ Dec10,2021 如今，世界上存在著許多惡意軟體和勒索病毒攻擊事件。

此外，也有許多未經授權的存取企圖竊取我們的身份資訊。

另外，由於人們現在能夠將行動裝置隨身攜帶至任何地方，如何確保這些行動裝置上的資訊安全也成了一大課題。

而ISO27001認證是在確保公司擁有一套安全穩固的資訊管理系統來保護公司內部重要的資訊財產。

SaaS如何適用於VUCA的時代 Dec3,2021 隨著近日人們的步調愈來愈緊促，我們也逐漸踏入VUCA的時代。

VUCA（Volatility、Uncertainty、Complexity、Ambiguity）分別代表波動性、不確定性、複雜性和模糊性。

SaaS是一種可以即時並簡單啟用的解決方案，甚至可以先從小規模開始採用。

也因為這樣的特性，SaaS服務是最適合這個VUCA時代的。

什麼是CASB？一起認識雲端資安代理 Nov15,2021 在愈來愈多企業選擇使用雲端系統的同時，「CASB」這個名詞除了也隨之更常出現在我們的生活當中外，它的重要性更是不容小覷。

到底什麼是CASB？就讓這篇文章帶您簡單快速的瞭解吧！ 如何「正確地」犯錯？ Nov5,2021 有一天我注意到--其實要「犯錯」是很難的。

因為要犯錯，人們就需要意識到什麼是「錯誤」。

如果一個人沒有認識到自己所犯的錯誤，對那個人而言就不是一個錯誤。

這就讓我產生了一個疑問，什麼是「錯誤」？錯誤就是一個我們不想要或無意造成的結果。

為了犯錯，應該提前建立期望或目標。

HENNGE，重視改變所帶來的力量 Oct22,2021 我們重視點燃變化的力量，我們認為不斷挑戰自己與時俱進的公司才能提供更好的產品及解決方案給消費者。

同時，我們也認為社會上若能充滿這些有創新思維的公司，定能使世界變成一個更美好的地方。

不斷地嘗試新解決方案找到其中遺漏的拼圖，並且努力挑戰開發出能夠填補漏洞的解決辦法。

我們稱這樣的行為作「品嚐未成熟的果實」。