WiSECURE Technologies

身份認證常見 QA

無密碼身分認證

無密碼「並非」密碼代管,而是完全丟棄密碼,以另外一種技術實現身分認證。

無密碼身分認證採用密碼學中的「非對稱式密碼系統」,使用者持有一對金鑰,分別是「公鑰」和「私鑰」,私鑰須由使用者保管且不可洩漏,公鑰則是提供給驗證方,用以驗證使用者身分。

私鑰「不是」密碼,而是由演算法產生的極大正整數,通常以二進位、十六進位表示,儲存於設備中的安全空間,無法被任意讀取。執行解密或數位簽章時,才會被用來進行相關作業。

「私鑰被取走後是否有跡可循」取決於私鑰的儲存位置。通常儲存於高安規的硬體安全模組,則有相關安全措施。若存放於一般設備記憶體,則容易被竊取且很難偵測。

公鑰為公開金鑰密碼系統的公開資訊,讓他方驗證自己身分,或用於加密訊息,因為是公開資訊,因此不會成為竊取目標。

FIDO 國際標準

FIDO 全名為 Fast Identity Online,初期為 PayPal、Lenovo、Nok Nok Labs、Validity Sensors、Infineon 和 Agnitio 成立的聯盟,推動以「公開金鑰密碼系統」作為身分認證的核心技術,取代傳統的密碼。現已成為擁有近三百企業會員的國際聯盟。

FIDO 身分認證框架中,使用者的私鑰儲存於設備的安全環境,或另外的外接式安全金鑰。而私鑰的存放環境,將影響私鑰被複製盜用的可能性。經過 FIDO 認證的產品,等級一 (Level 1) 其私鑰存放環境有一定的品質,但無法保證不被複製和盜用,等級二 (Level 2) 則有一定程度保證私鑰不會被竊取或盜用。

FIDO2 強調以實體安全金鑰或手機取代密碼,使用者僅需創建帳號,帳號綁定實體安全金鑰或是手機,往後登入即可透過實體安全金鑰或手機當成身分認證憑證,無需管理任何密碼。

密碼需要更新的主要原因,在於伺服器端需存取密碼相關資訊,使用者無法確保密碼安全性,導致密碼管理不易。然而,FIDO 身分認證使用的公開金鑰密碼系統,註冊時生成金鑰對並綁定帳號,一旦綁定便不會更新金鑰。若對既有帳號有資安疑慮,則須重新註冊,生成新的金鑰對。

安全金鑰遺失後,需通報企業內部的 IT 人員,由後台進行安全金鑰重新綁定。

每個人的安全金鑰一經身分綁定後,即是獨一無二不可取代,因此安全金鑰在綁定使用者帳號後不可通用互換。

根據 FIDO Alliance 官網,2009 年 Validity Sensors 和 PayPal 欲使用生物辨識取代密碼,成為使用者身分認證的方式,其認證技術則是建構於密碼學中的「公開金鑰密碼系統」,意即生物辨識必需搭配公開金鑰密碼系統才算是 FIDO 身分認證。然而,現已有許多 FIDO 身分認證方式不採用生物辨識,而是單純使用公開金鑰密碼系統的技術,加上輕觸或輸入 PIN 的方式驗證使用者在場。總而言之,生物辨識為當時 FIDO Alliance 成立的初衷,但後續發展因成本結構、安全性、技術等因素,無法確保指紋模組的品質和安全性皆可信賴,因此轉以將技術框架的核心聚焦於密碼學的公開金鑰密碼系統。

 

無密碼賦能生態系 - 匯智安全科技

匯智安全的使命為「賦能企業導入 FIDO2 身分認證框架」,並提供諮詢協助取得證書。企業可以選擇導入有 FIDO2 功能的安全晶片、MicroSD卡、USB 安全金鑰或手機應用程式作為設備端認證引擎,我們亦提供 FIDO2 認證伺服器作為企業內帳號綁定及權限控管的中樞。

針對企業端內部管控的註冊,是由 IT 相關人員進行帳號綁定及權限設定;消費者端則是依照服務提供商的設計,若採用無密碼,則建議有至少兩種非密碼的方式進行認證,以免安全金鑰遺失後無法登入帳號。


匯智安全的 FIDO2 解決方案會執行歷程記錄,亦可加強安全強度及不可否認性,使用數位簽章稽核日誌。

匯智安全提供的 FIDO2 Server 解決方案,除了提供企業內部使用,亦可整合雲端服務。

匯智安全無密碼身分認證可應用在特權帳號管控。

可以,將登入虛擬貨幣錢包的帳號密碼登入方式,改採以 FIDO2 多因素或無密碼的強認證。大大強化虛擬貨幣管理的安全性。

兩種計價模式皆有。

匯智安全一般提供企業版解決方案,個人版的模式,可由代理或經銷商採購後,針對個人使用者提供服務。


可以,匯智安全協助將「設備、企業內部網站服務、FIDO2 認證伺服器」整合,賦予企業管理設備和使用者權限的平台及工具,並完整轉移技術及套件。


FIDO 全名為 Fast Identity Online,以私有雲或公有雲的方式布署身分認證系統,若要成為離線授權,匯智安全協助客製化認證機制,藉由 FIDO2 框架的認證機制,延伸出憑證驗證的安全框架,實現臨時驗證授權。