現代生活從ATM、電腦/手機本身、軟體或APP、甚至電子郵件、社交平台也都需要帳號密碼。現在大家也都很習慣指紋、臉部辨識、感應卡,方便的同時也保障安全,但在新服務裡為什麼都還需要密碼,常常記不住密碼要怎麼辦?有可能用上指紋、臉部來做辨識,2FA、MFA、OTP真能取代密碼嗎?數位時代創新長黃亮崢James邀請AWS社群英雄蔣鐙緯Ernest一起探討使用、管理密碼的方法與問題,並介紹推動無密碼身分驗證的重要標準組織FIDO與重要方法。
密碼可能被共享、猜測或竊取,導致資料外洩,無法完整保護使用者,市場也因此出現了密碼產生器(random password generator)、密碼管理員和多因子驗證等服務或機制,都是為了加強資訊安全的保護。
密碼學中身分認證的三因素是:所知之事(something you know,如使用者名稱及密碼)、所持之物(something you have,如身分證、提款卡或簡訊/推播一次性密碼one-time password,簡稱OTP)、所具之形(something you are,如臉部或指紋辨識)。
多因子驗證(Multi-factor authentication,MFA)是要求使用者得通過兩種以上的認證機制,才能得到授權使用資源。例如,使用者要輸入密碼,插入銀行卡,最後再經臉部辨識,通過這三種認證方式,才能獲得授權。這種認證方式可以提高安全性。雙重認證(Two-factor authentication,2FA)則是縮減成兩種認證方式。
為了解決使用者大量、複雜的帳號密碼與相關的安全問題,一系列的軟體、硬體與金融服務公司在2013年共同成立了FIDO聯盟(Fast IDentity Online)。2018年其所推出FIDO2標準中的核心規格WebAuthn被負責網路通訊主流規格的W3C聯盟接納成為正式的Web標準,並被主流瀏覽器Google Chrome、Microsoft Edge、Apple Safari與Mozilla Firefox與最新的作業系統Windows、MacOS、iOS與Android接受,並進一步讓人手一隻的智慧手機做成實體金鑰,才逐步在近日實現了無密碼服務。
--
QITC 2024 高通台灣創新競賽熱烈徵件中!🔥
高額獎金 X 輔導育成 X 接軌國際,即日起至 3/31 歡迎各路新創好手踴躍報名 >> https://mt_ad.pse.is/5k4lag