本文章內容由本人與 @jeffrey010299 共同撰寫,並刊登於「鏈閃」專欄。
前言──數位時代的新登入方式
隨著數位化時代的到來,人們對於網路上的資訊交流越來越重視隱私和安全。然而,隨之而來的是身份驗證的問題。現今,身份驗證已經成為數位環境中一個關鍵的問題,因為隨著使用者人數的增加,如何保障安全性和隱私性也就成為了一個重要的挑戰。因此,FIDO(Fast Identity Online)聯盟的出現成為了一個重要里程碑,並且為數位身份驗證的發展提供了一個重要的推動力。
幣安也在 3/30 發 Tweet 表示正式加入 FIDO 聯盟,並將其服務整合 FIDO Passkey 技術將改善用戶登入平台的速度和安全性。
那麼到底甚麼是 FIDO?FIDO 技術的運作機制為何?這項技術又能夠為數位化時代帶來什麼樣的應用呢?
傳統密碼模式有甚麼問題?
讀者多多少少都經歷過密碼記不起來的窘境,傳統的密碼登入模式一方面容易被猜測,容易被盜取,另一方面倘若使用者在不同的網站或應用程式上註冊帳號時,使用相同的密碼,只需要其中一個網站或程式的資料庫被駭客入侵,駭客便可以輕鬆的盜取所有的資料。
此外,對於企業端而言,密碼的存儲、管理等都需要一定的成本,甚至需要定期的更新密碼政策,要求密碼的複雜程度等,這些都將造成資源與成本的耗損。此外亦會造成使用者的體驗不佳,相對於「無密碼」的生物辨識,傳統的密碼登入模式將要求使用者記住多組密碼,甚至會要求有特殊符號等,以上種種繁瑣的程序多少都會影響到使用者的體驗。
為此,FIDO 聯盟成立的最終目標便是實現所謂的「無密碼」,在用戶端與企業管理端都達做到更順暢也更安全的願景。
FIDO 聯盟是什麼?
FIDO 聯盟是一個開放的行業協會,其聚焦於一個使命:推動身份驗證標準以幫助減少全球對「密碼」的過度依賴。FIDO 聯盟希冀能促進身份驗證和設備驗證的標準的開發、使用和合規性。
儘管有關減少或取代密碼使用的共識日益增強,但傳統的密碼使用模式仍舊存在。即便有效的 PKI (Public Key Infrastructure,公開金鑰基礎建設)和強大的身份驗證解決方案已經存在多年,普遍的使用障礙仍舊存在。使用者對於密碼身分驗證可能不甚滿意,並且在線服務提供商可能不願意承擔開發和提供專屬解決方案所需的高成本和複雜性。
FIDO 聯盟正在通過開放標準來改變身份驗證的性質,這些標準比密碼和 SMS OTP 更安全,對消費者更簡單易用,對服務提供商更容易部署和管理。 FIDO 聯盟通過以下方式來實現其使命:
-
開發技術規範,定義一組開放、可擴展、互操作的機制,減少對密碼進行用戶身份驗證的依賴
-
運營行業認證計劃,以幫助保證規範的成功全球採用
-
將成熟的技術規範提交給公認的標準開發組織進行正式標準化
FIDO 協議如何運作?
FIDO協議使用一種簡單且安全的方式來進行身份驗證。舉例而言,在網站的註冊過程中,用戶的設備上會創建一對新的密鑰,並且只有公鑰會在網站上註冊,而私鑰則會保留在用戶的設備上。當用戶想要證明自己擁有私鑰時,客戶端會針對一個挑戰進行簽名,只有在用戶的設備被本地解鎖後,私鑰才會被調度使用。
本地解鎖可以通過對用戶友好且安全的方式來進行,例如滑動手指、輸入PIN碼、通過麥克風說話、插入第二因素設備或按下按鈕等。除此之外,FIDO協議的設計非常注重保護用戶的隱私,因為這些協議並不提供用於協作和跟蹤用戶在不同網站間活動的資訊。
例如,當使用生物識別資訊時,這些資訊永遠不會離開用戶的設備,這樣可以確保用戶的隱私得到有效的保護。舉個更生活化的例子,當用戶在使用指紋辨識解鎖手機時,指紋資訊是儲存在手機上的,而不會被傳送到其他地方,這樣可以保護用戶的指紋資訊不被外部存取。
註冊:
-
提示用戶選擇符合在線服務接受政策的可用FIDO驗證器。
-
用戶使用指紋讀取器,第二因素設備上的按鈕,安全輸入的PIN或其他方法解鎖FIDO驗證器。
-
用戶設備為本地設備,在線服務和用戶帳戶創建了一對新的公共/私有密鑰對。
-
公鑰發送到在線服務並與用戶帳戶關聯。私鑰和有關本地身份驗證方法(例如生物測量或範本)的任何資訊永遠不會離開本地設備。
登入:
-
在線服務向用戶發出挑戰,以使用先前註冊的符合服務接受政策的設備進行登入。
-
用戶使用與註冊時相同的方法解鎖FIDO驗證器。
-
設備使用服務提供的用戶帳戶識別符選擇正確的密鑰並簽署服務的挑戰。
-
客戶端設備將簽署的挑戰發送回服務,服務使用存儲的公鑰驗證它並登入用戶。
FIDO對數位身份驗證的重要性
FIDO的出現對於數位身份驗證的發展至關重要。傳統的身份驗證方法,如密碼和安全問題,已經無法滿足當前安全要求的需要。這是因為這些方法容易被破解,並且不夠安全。相比之下,FIDO 的解決方案使用生物識別技術和硬件密鑰來進行身份驗證,可以大大提高安全性。因此,FIDO 對於保護用戶的隱私和安全至關重要,並且為數位身份驗證的發展提供了重要的推動力。
在數位世界中,一個人的身份是非常重要的,因為它關係到他在網路世界中所擁有的資源與權力。由於不斷增長的數位環境中,身份的識別和驗證變得越來越複雜,因此需要一個更好的身份驗證系統來保障使用者的安全和隱私。
加入 FIDO 聯盟對 Binance 有什麼好處?
Binance 將很快整合 Passkeys 技術,以增強平台的安全性。 Passkeys 基於 FIDO 標準,可作為強大的、抵抗釣魚攻擊的密碼替代方案。對於用戶而言,可以通過生物識別授權快速安全地在多個站點、應用程式和設備上登入。 Binance 將在不影響安全性的情況下,為用戶提供更安全、更順暢的體驗。
FIDO 組織架構
FIDO 聯盟由來自企業、支付、電信、政府和醫療保健領域的數百名全球技術領導者推動,他們聚集在一起支持該組織的使命,即減少世界對密碼的依賴。 聯盟成員通過影響 FIDO 規範的開發、建立部署 FIDO 身份驗證的最佳實踐以及推動聯盟、其使命和 FIDO 規範的全球意識來為這一使命做出貢獻。
1️⃣ FIDO 成員
是整個 FIDO 聯盟最核心的成員,主要分為四類:
-
**董事會成員:**成員包括 1Password、Amazon、Apple、Google、Intel、Line、Mastercard、Meta、Microsoft、PayPal、Visa 及 Wells Fargo 等。
-
**贊助商會員:**成員包括 Avast、Binance、Cisco、Discover、ebay、Fime、Fujitsu、Oppo、Hitachi、HSBC、Huawei、ITRI(工研院)、JCB、Rakuten、Sony 及 Twitter 等。
-
**政府級會員:**成員包括澳洲 DTA(Digital Transformation Agency)、英國內閣公署(Cabinet Office)、泰國 ETDA(Electronic Transactions Development Agency)、德國聯邦資訊安全辦公室(FOIC)、美國國家標準暨技術研究(NSIT)、韓國 TTA 還有台灣的數位發展部、內政部、財團法人電信技術中心。
-
**準會員:**因為真的太多了,不在本文贅述,有興趣可以到 FIDO 的 Member 中確認。
2️⃣ 聯絡夥伴(Liaison Partners)
FIDO 聯盟是一個開放的行業標準制定協會,其使命是與世界各地的行業機構高度互補。我們很高興有機會與其他與我們有共同願景的協會合作。如果您的組織有興趣合作。目前與以下協會夥伴簽訂合作和聯絡協議:
3️⃣ 工作小組(Working Groups)
FIDO 聯盟有 15 個活躍的工作組,受命促進聯盟的技術和市場採用目標。工作組的參與對所有董事會成員和讚助商成員開放,準成員只能在受邀的基礎上參與。工作小組又分為四大類:
-
Technical Working Groups:「FIDO2 技術工作組」、「物聯網 (IoT) 技術工作組」、「元數據服務技術工作組」及「通用身份驗證框架 (UAF) 技術工作組」
-
Certification, Security, Privacy and Identity focused Working Groups:「生物識別工作組」、「認證工作組」、「身份驗證和綁定工作組」、「安全和隱私要求工作組」
-
Adoption Working Groups:「消費者部署工作組」、「企業部署工作組」、「政府部署工作組」、「用戶體驗 (UX) 工作組」
-
**Regional Working Groups:**目前在五個地區有成立工作小組,分別是中國、歐洲、印度、日本和韓國;而台灣目前則僅有成立區域論壇。
4️⃣ 委員會和研究小組(Committees and Study Groups)
個人參與委員會和研究組需要主席和/或董事會的批准,加入這些團體的個人必須是相應領域的主題專家。 目前主要有 FIDO 認證專業項目委員會、營銷和傳播委員會、公共政策委員會及技術委員會。
結論──去中心化的殊途同歸
通過生物辨識替代傳統的密碼驗證方式,對於數位時代的發展必然將會有很大的幫助。
企業採用生物辨識的機制取代傳統密碼,不僅可以提高資訊安全性,也有助於用戶體驗。如果最近有使用幣安的讀者,便會發現,之前很多要輸入密碼或是驗證碼的地方,都已經改採生物辨識了。
而 FIDO 標準,讓用戶可以不需記住複雜的密碼,就可以更快速地進入企業所提供的應用和服務。此外,FIDO 技術也可以幫助減少帳戶被盜用或者駭客攻擊的風險,因為FIDO結合了裝置端的生物特徵以及公開金鑰機制,這意味著駭客無法通過猜測或者破解密碼進入任何人的帳戶,因為FIDO並不會傳輸密碼等共享秘密,故為安全便利、可抵抗釣魚攻擊的身分識別機制。
而也許會有人疑問,FIDO標準如何與訴求去中心化的 Web3 結合,並產生出大眾所期望的火花呢?
筆者剛好也有機會訪問 FIDO 聯盟台灣分會會長張心玲 ,其表示:「在目前 FIDO 的標準中,用戶的身分與公開金鑰皆是由用戶所屬的機構各自來管理,所以 FIDO 雖然不像 Web3 這麼的去中心,但也並不會有個單位來集中管理各個機構的身分與金鑰,也避免了過度集中的風險。而在很多現行Web3的場景下,很多用戶仍需仰賴如交易所等機構代為管理其資產,也就會產生帳號全性的議題。而 FIDO 標準就可以在這樣的場景下發揮作用,提供用戶安全便利的身分識別機制,保障用戶資產與交易安全性。」
總的來說,FIDO身分識別標準對於數位化時代的發展有著重要的意義。這種技術不僅提高了資訊安全性,也改善了用戶的體驗,我們應該期待FIDO標準在未來的發展!