「無密碼時代」即將來臨，這將對我們造成什麼樣的影響呢?

前言

        兩周多以前，我在Google搜尋的首頁第一次看到世界密碼日這個節日，世界密碼日(World Password Day)訂在每一年五月的第一個星期四，今年是5/5日，由Intel公司所創立，旨在提醒人們高強度密碼的重要性，避免使用同一個密碼在不同的帳號。在當日也發生了一件重要的事情，就是Google、蘋果(Apple)、微軟(Microsoft)發表聯合聲明，聲稱將擴大對FIDO(Fast IDentity Online)標準的支援，加速達成「無密碼登入」的目標，在說到無密碼登入之前，我們先來了解什麼是FIDO標準?

FIDO標準是什麼?

        在說到FIDO標準之前，先來介紹FIDO聯盟，FIDO聯盟為一非營利產業聯盟，創始者是 Paypal 跟聯想的創辦人，於2013年2月成立，其他的成員還包含 Google、Apple、Microsoft 等各家科技大廠都在其中。FIDO聯盟的宗旨FIDO將傳統密碼的登錄方式替換為跨網站和應用程式的快速安全登入。為了達成高強度密碼的目標，傳統密碼需設置很複雜，使用者容易忘記，且每一個網站都有一個帳號，也有自己的密碼，大量的密碼也容易忘記，所以才會產生FIDO這一套標準，FIDO簡單的運作原理是由使用者的硬體裝置來進行身分驗證，再經由公私鑰架構(非對稱式加解密裡的重要概念)線上識別身分。

FIDO 將需要被驗證的資料保存在使用者硬體端，資料不會經由網路資料傳輸，也因此不會被洩漏，具有安全保障。

FIDO標準的規範

        FIDO的標準在2014年發布，可以細分兩個不同的標準，一個是U2F，一個是UAF，U2F標準為使用物理安全的金鑰，這就像是私鑰，然後公鑰儲存在伺服器當中，來提升帳號的安全性

而UAF標準則是使用生物辨識的方法保護設備裡的私鑰，公鑰一樣儲存在伺服器當中，藉由非對稱式加解密來保護帳號。

近年來更發表FIDO2，裡面包括與國際標準組織萬維網聯盟（W3C）合作的網路身份認證(Web Authentication, WebAuthn)、用戶端到身份驗證器協定(Client to Authenticator Protocol ,CTAP)更明確的公布具體的作法來實現「無密碼時代」。

FIDO的應用

        蘋果(Apple)公司在去年2021年的WWDC開發者大會上宣布僅需使用臉部辨識或指紋即可創建帳號 / 登入的 passkeys in iCloud Keychain 技術。其使用到的就是FIDO2裡面WebAuthn技術，私鑰一樣儲存在用戶端的裝置中，公鑰儲存在伺服器，當你要進行登入的時候，伺服器會產生挑戰碼來確認你是否有私鑰，你再用私鑰產生簽章傳回伺服器進行驗證，正確就可以進行登入。此技術的好處在於有高安全性以及可回復性，就是如果你的移動端裝置用丟了還是可以使用自家的Apple ID來找回。

FIDO的利與弊

        思科的調查報告指出，現時因為有更多網絡服務要求用戶設定更高級密碼及組合，更要進行定期更新，所以全球有51%用戶每星期會忘記或需要重設密碼，另外亦有57%會於不同帳戶使用同一個密碼，確保不會忘記密碼。FIDO就可以解決這樣的問題，FIDO使用非對稱式加解密的方法來保障帳號的安全性，人們只要使用移動端的設備，例如手機、平板、物理安全金鑰等等來進行認證登入，我們不用再記住所有的密碼，也可以登入各個網站。

        但FIDO也有一些問題，第一個是並不是所有人都有移動端的設備，還是需要密碼登入，第二個是如果一個裝置被盜，很有可能因為互相支援的關係導致有心人士可以進入你所有網站的帳戶，第三個是在於使用生物辨識來進行登入，生物辨識像是使用臉部或是指紋解鎖，這些訊息更像是你的ID，而不是你的密碼，如果被盜取也很難輕易更改，所以以生物辨識來保護你的帳號是不太適合的。約翰霍普金斯大學密碼學家Matthew Green說「如果設備間傳輸的使用者介面在某些設備上很糟糕，那麼它們都會很糟糕，這將繼續阻止使用。」這也是FIDO聯盟致力去處理的問題。

結語

        FIDO帶給我們很多便利性，例如不用再記住非常多複雜的密碼，只要你的手機就可以進行登入，FIDO也是推展「無密碼時代」重要的功丞，但是我們也不能忽略它所帶來的問題，只要這些問題都可以解決，我相信「無密碼時代」對我們使用者來說也是一件好事。