Help net security發佈了一篇如何使用通行證改變身份驗證的面貌
身份驗證是網路安全的重要部分,但傳統的使用者名稱和密碼組合已經不再適合現代的需求。因此,越來越多的人開始採用無密碼身份驗證(passwordless authentication)的方式,使用通行證(passkey)來登入應用程式和網站。那麼,什麼是通行證,它們有什麼好處呢?
通行證是一種數位憑證,只能由授權的使用者使用。這通常需要使用生物辨識(如臉部或指紋掃描)或一個獨特的因素(例如 PIN 碼)來解鎖裝置。簡單來說,如果您的裝置要求您用指紋或臉部掃描來「登入」Google、Apple 或社交媒體網站,那麼它很可能很快就會要求您啟用通行證。通行證使用了一對由您的裝置產生的加密金鑰。一個公開金鑰和一個私密金鑰組合成一個通行證,用來解鎖您的帳戶。應用程式或網站會儲存您獨特的公開金鑰。
通行證的使用在去年得到了快速推進,當時像 Apple、Google 和 Microsoft 這樣的科技巨頭宣佈在他們的產品中支援通行證。Apple 在其最新的 iOS 版本中自動啟用了通行證,Microsoft 在 Windows 11 中擴展了通行證的使用,而 Google 則在 Chrome 和 Android 裝置中啟用了通行證,並將其擴展到 DocuSign 和 PayPal 等服務。2023 年 10 月,Google 開始將通行證作為使用者登入其帳戶的預設方式。
但是,在談到通行證時,細節是關鍵。這是因為這個術語對不同的人有不同的意義。例如,快速身份線上(FIDO)是一種開源的身份驗證標準,它提供了一種將身份綁定到裝置並實現無密碼身份驗證的方法。FIDO 無密碼憑證經常與通行證混淆,甚至 FIDO 聯盟也採用了「通行證」這個術語來描述 FIDO 無密碼憑證,因為這個術語已經獲得了很多關注。但 FIDO 是一種單次觸摸多因素身份驗證(MFA)體驗,它已經演變成一種無密碼體驗。在幕後是使用者持有的加密金鑰,通常存放在一個安全的密碼保險庫中。這取代了傳統的將密碼存儲在集中式伺服器中的方法——這是幾十年來許多帳戶被入侵和釣魚問題的根源。
由於 FIDO 已經內建在流行的瀏覽器和平台中,通行證的採用將會呈指數增長。然而,市場上仍然存在一些混淆。例如,當通行證剛推出時,大多數部署都限於單一瀏覽器。當使用者獲得一個新裝置時,它必須重新註冊,這意味著要回到——你猜對了——使用者名稱和密碼來進行身份驗證,從而打破了可攜性的目標。
通行證的挑戰和前景
最近的進展現在允許私密金鑰在裝置之間漫遊,提高了企業的可用性,但也引入了使用者故意與惡意行為者分享他們的金鑰或成為釣魚攻擊受害者的風險。對於企業來說,可以限制可以使用通行證的裝置數量。在這種情況下,一個裝置綁定的通行證需要有一個裝置證明,這樣金鑰就只能在一部手機或只能在通過令牌(例如 YubiKey)驗證的裝置上工作。
通行證的優勢是顯而易見的。它們可以提高使用者體驗,減少密碼重置和管理的成本,並提高安全性和隱私性。通行證還可以幫助企業符合法規要求,例如歐盟的一般資料保護規則(GDPR)和加州消費者隱私法案(CCPA),因為它們不需要收集或存儲任何個人資訊。
通行證是無密碼身份驗證未來的趨勢之一。隨著科技的發展和使用者需求的變化,我們可以期待看到更多創新和改進的方式來保護我們的身份和資料。通行證是改變身份驗證面貌的一種方式,也是我們走向更安全、更方便、更智能的網路世界的一步。
詳情請看: