「無密碼時代」即將來臨,這將對我們造成什麼樣的影響呢?
前言 兩周多以前,我在 Google 搜尋的首頁第一次看到世界密碼日這個節日, 世界密碼日 (World Password Day) 訂在每一年五月的第一個星期四,今年是 5/5 日,由 Intel 公司所創立,旨在提醒人們高強度密碼的重要性,避免使用同一個密碼在不同的帳號。在當日也發生了一件重要的事情,就是 Google 、蘋果 ( Apple)、微軟 (Microso ft) 發表聯合 聲明 ,聲稱將擴大對 FIDO (Fast IDentity Online) 標準的支援,加速達成「無密碼登入」的目標,在說到無密碼登入之前,我們先來了解什麼是 FIDO 標準 ? FIDO標準是什麼? 在說到 FIDO 標準之前,先來介紹 FIDO 聯盟 , FIDO 聯盟 為一非營利產業聯盟,創始者是 Paypal 跟聯想的創辦人,於 2013 年 2 月成立,其他的成員還包含 Google 、 Apple 、 Microsoft 等各家科技大廠都在其中。 FIDO 聯盟的宗旨 FIDO 將傳統密碼的登錄方式替換為跨網站和應用程式的快速安全登入。為了達成高強度密碼的目標,傳統 密碼需設置很複雜,使用者容易忘記,且 每一個網站都有一個帳號,也有自己的密碼,大量的密碼也容易忘記,所以才會產生 FIDO 這一套標準, FIDO 簡單的 運作原理 是 由使用者的硬體裝置來進行身分驗證,再經由公私鑰架構 ( 非對稱式加解密裡的重要概念 ) 線上識別身分。 FIDO 將需要被驗證的資料保存在使用者硬體端,資料不會經由網路資料傳輸,也因此不會被洩漏,具有安全保障。 FIDO標準的規範 FIDO 的標準 在 2014 年發布,可以細分兩個不同的標準,一個是 U2F ,一個是 UAF , U2F 標準為使用物理安全的金鑰,這就像是私鑰,然後公鑰儲存在伺服器當中,來提升帳號的安全性 而 UAF 標準則是使用生物辨識的方法保護設備裡的私鑰,公鑰一樣儲存在伺服器當中,藉由非對稱式加解密來保護帳號。 近年來更發表 FIDO2 ,裡面包括與 國際標準組織萬維網聯盟( W3C )合作的網路身份認證 (Web Authentication, WebAuthn)、 用戶端到身份驗證器協定 (Client to Authenticator Prot