在數位化時代,企業大量運用網路環境做為企業營運的媒介,對於企業內的端點設備、伺服器運作、雲端進出管制等,「密碼」成為保護企業,預防資料外洩的一個安全機制,讓企業在網路營運上,多了一層隱私的保護。然而,「密碼」帶來的問題不再只是難以記憶或管理不易,更早已成為企業資安的破口,成為駭客集團入侵企業內部的管道。
「密碼身分驗證」是多一層隱私保護還是資安缺口呢?
去年11月,台灣有數家券商遭受駭客集團採用憑證填充攻擊 (Credential Stuffing Attacks),亦稱為撞庫攻擊,從外部取得大量被洩漏的帳號密碼,運用自動化方式,不斷的進行帳密配對,一但配對成功後,駭客則可運用這組帳密,輕而易舉進入企業用戶內部,進行不法行為,因此「密碼」是否設定嚴謹,足以影響駭客攻擊入侵成功與否。
最常發生的資安事件,是駭客運用社交工程手法,針對人性的駭客行為,運用心理操作,騙取帳號密碼入侵企業內。CyberArk 2022 身分安全威脅情勢報告研究調查,指出企業內平均每位人員有 30 個以上的數位身分,Verizon 2022 data breach investigations report(DBIR) 資料洩露調查報告則進一步顯示,超過80% 的資料洩露,來自於密碼設定的薄弱所造成。當弱密碼被共享或是被偷竊,企業使用者的資訊保護成功機率,幾乎是微乎其微,因此企業組織採用許多方式來增強密碼的強度,例如雙因素認證(Two-Factor Authentication,2FA)、多因素認證(Multi-factor authentication,MFA)、生物辨識(Biometric)等方式,甚至使用密碼管理員工具來管理。
然而,最近一次的「密碼」資安事件,就發生在密碼管理公司 LastPass。八月 LastPass 遭受駭客入侵,所幸用戶資料未被竊取,加密密碼庫也未被入侵,但是從身為密碼管理公司 LastPass 遭受駭客入侵,已有多次的紀錄。當企業中每位人員,身上有大量的數位身分扮演時,無論在密碼設定、管理、維護以及對員工進行資安意識的教育訓練等,每一筆均是預算支出,不禁讓我們省思,有密碼,對於企業的隱私安全,真的是多一層保護嗎?
「無密碼身分驗證」具體展現三大好處
無密碼登入的源起於 2012 年,由多家科技巨擘聯手引領,成員公司分別為 PayPal、Validity Sensors 和Lenovo,歷經至今十年光景,持續有 Google、Micorsoft 微軟、與 NTT 加入,成員總數已經超過數百家公司,「易使用、隱私安全、標準化」是FIDO(Fast Identity Online)由同名的非營利組織 FIDO 聯盟組織成立時,所堅持的三大原則。
FIDO UAF、FIDO U2F 以及 FIDO2,是 FIDO 聯盟發布的三種用戶身分驗證規範,其中 FIDO2 是三種認證規範最新的一條協議,除了綜合無密碼登入以及雙因素驗證,其中最大特色在於結合 WebAuthn 後,具備對各大瀏覽器的支援。這樣的協議能讓使用者在更多不同的平台及裝置上,透過 FIDO 標準進行身分驗證,無密碼時代的序章就此展開。
無密碼的好處,對於使用者來說,最直接的感受,則是可以擺脫記憶密碼的麻煩、忘記密碼時重置的繁瑣。此外也能立即反應出資安防禦的具體成效,預防社交工程的網路釣魚手法和密碼暴力破解,因此,企業網路環境強化、改善用戶體驗、降低 IT 成本連同簡化 IT 運營等,皆是導入「無密碼身分驗證」的企業組職,所能體驗的具體效益。
「無密碼安全」使用見證者 : 中華電信與智慧光科技
在臺灣,能協助企業導入 FIDO2 身分認證框架,不只提供專業顧問諮詢,還能輔導取得證書的第一家廠商,就是匯智安全科技。匯智安全科技是在部署FIDO生態系方面的領導品牌,企業可以選擇導入具備 FIDO2 功能的安全晶片、MicroSD卡、USB 安全金鑰或手機應用程式,作為設備端認證引擎,同時匯智安全科技也提供 FIDO2 認證伺服器,作為企業內部帳號綁定及權限控管的中樞。
2022年,匯智安全科技協助全台最大電信業者中華電信與臺灣電子產品製造商智慧光科技,導入無密碼安全機制方案,績效斐然。中華電信導入匯智安全科技的AuthTron 安全金鑰,具有 FIDO2 Server EA (Enterprise Attestation) 功能,即企業級無密碼/多因素身分認證解決方案。中華電信曾經理表示,中華電信因為導入 FIDO EA,省下不少人力及研發成本,並且從伺服器到認證裝置端,也有完善的管理系統,人員可快速上手,部署無密碼/多因素身分認證。
而智慧卡龍頭品牌的智慧光科技,2022年與匯智安全科技展開合作,將FIDO認證功能晶片導入 BLE 及 NFC 通訊介面的卡片,使卡片帶有 FIDO2 無密碼身分認證功能,能適用於手機、平板、電腦的身分認證登入。智慧光科技李副總經理表示,當初在安全金鑰產品上,實作無密碼身分認證功能,是為了爭取産品進入市場的機會,因此導入匯智安全科技的晶片,大幅節省開發的時間,短短不到三個月便通過了 FIDO 國際認證,現在已成功的進軍海外市場。
企業使用FIDO,實現「零信任身分認證」
來自世界各地,數百家技術公司和服務供應商,與 FIDO 聯盟和 全球資訊網協會 (World Wide Web Consortium)W3C 合作,已開創數十億設備和現今網路瀏覽器所支援的無密碼登錄標準。今年五月,Apple、Google 和 Microsoft 更是承諾,將擴大FIDO 標準的支持,加快無密碼登錄的可用性,使其跨設備、跨平台,讓消費者能夠更快、更輕鬆、更安全的登錄系統內。這些新功能預計將於未來一年內完成。
全面無密碼的時代,距離我們不遠了。值得期待的是,FIDO生態系領導品牌匯智安全科技,正持續協助企業將「設備、企業內部網站服務、FIDO2 認證伺服器」全面整合,賦予企業管理設備和使用者權限的平台與工具,並完整轉移技術與套件,協助企業邁入無密碼的工作日常,進行企業安全的營運。