FIDO 是什麼?
FIDO 是由同名的非營利組織 FIDO 聯盟所訂定的一套網路識別標準,確保登入流程中伺服器及終端裝置協定的安全性。而這套識別標準透過公開金鑰加密(Public Key Cryptography)的架構進行多重因素驗證(MFA)以及生物辨識登入,保護雲端帳號的登入資訊。
FIDO 聯盟的起源FIDO 聯盟的成立要追溯到 2007 年,支付平台 PayPal 當年正為了軟體資安的把關,推行一次性密碼(OTP)給其用戶。然而OTP 的採用率在當時並不高。而後在 2009 年,研發指紋辨識的維立科技(Validity Sensors)向 PayPal 探討以指紋辨識的科技來登入服務的可能性,兩家公司認為業界需重視資安議題,訂定一套更嚴密的身份識別標準,於是 FIDO 聯盟便於 2012 年成立。
FIDO 為什麼比較安全?
FIDO 協定建立於公開金鑰加密(Public Key Cryptography),使「伺服器端將不再保管祕密」。因在傳統密碼的驗證架構,使用者的終端裝置與伺服器之間互相都知道密碼或以密碼產生的雜湊函數。FIDO 則是採用公開金鑰,在 FIDO 認證伺服器端(FIDO Authentication Server)保存公鑰,相對應的私鑰僅保存在使用者的裝置端,登入時只需提供個資給終端裝置放行私鑰,再由伺服器的公鑰驗證身分真實性,使用者的個資就不必被上傳到雲端,有效保護資料,也讓使用者在登入的過程中更安全。
三大 FIDO 認證協議
FIDO 建立於三大認證協議(protocol),分別為 FIDO UAF、FIDO U2F 以及 FIDO2。
- FIDO UAF
Universal Authentication Framework - UAF 是指透過結合生物辨識等認證途徑,透過安裝在裝置上的 FIDO UAF ,讓使用者可以選擇在終端裝置上透過指紋辨識、聲音辨識、PIN 等方式進行線上登入,擺脫傳統輸入冗長密碼的流程。 - FIDO U2F
Universal Second Factor -- U2F(在 FIDO2 頒佈後被歸納為 CTAP1)則是支援雙因素驗證。使用者輸入密碼後,再提供第二個驗證因素,而這些外加的第二因素可包含手機或 USB 安全金鑰,讓登入過程多一層把關及保護。 - FIDO2
FIDO2 是三大認證協議當中最新的一條協議,除了結合無密碼登入以及雙因素驗證,也結合了 WebAuthn 對於各大瀏覽器的支援,該協議能讓使用者在各平台及裝置上實現無密碼身分認證。
FIDO 應用在哪裡?
- 金融、銀行產業
金融法規限制嚴謹,因此銀行及金融業者在發展科技應用的同時,也關注資安解決方案。FIDO 身分認證不僅提供國際資安等級的安全性,也讓身分登入更加便利,兼顧使用者體驗與隱私安全。 - 一般企業
FIDO 能針對企業應用情境提供客製服務,如電商會員系統、訂閱制服務會員系統,皆可透過無密碼登入,避免身分被盜用或非法分享訂閱權限,也可用於遠端工作的 VPN 登入,避免密碼洩漏及非法登入企業系統,同時保護企業內部資料。 - IoT設備與物聯網產業
物聯網蓬勃發展,製造業、零售業、醫療業等開始導入各種物聯網設備,因此 FIDO 制定專為物聯網設備的 FIDO 認證 FDO (FIDO Device Onboard)協議,讓設備可被信任。 - 5G時代應用
5G 著重於大頻寬、大連結及低延遲,而如何在低延遲的條件下,確保被傳輸數據的真實性和隱私性,則是資安面需要考量的點。FIDO 提供完善的技術,透過實體裝置認證,避免資料被駭客取得,為快速通訊的時代建立起防護網。
結語
FIDO 是現在在國際上最廣泛被採用的強認證標準,國際大廠包括 Meta、Google、Amazon 與雲廠商都已經導入並推廣,FIDO 解決了密碼帶來的風險、成本與管理問題。匯智安全的使命為「賦能企業導入 FIDO2 身分認證框架」,並提供諮詢協助取得證書。企業可以選擇導入有 FIDO2 功能的安全晶片、MicroSD卡、USB 安全金鑰或手機應用程式作為設備端認證引擎,我們亦提供 FIDO2 認證伺服器作為企業內帳號綁定及權限控管的中樞。此外,我們熟稔零信任的架構與原理,因此不只是 FIDO,更能協助客戶符合零信任的框架下導入,完善身分認證與訪問管理的零信任基礎建設。