【告別密碼】Android 獲 FIDO2 認證,全面開通無密碼登入
FIDO 聯盟與 Google 剛於世界通訊大會(MWC)上宣佈 Android 取得 FIDO2 認證,用戶不再需要輸入密碼,就可以用手機及流動裝置登入 app 或網站。任何 Android 7.0 Nougat 或以上版本,更新 Google Play Services 就可以透過手機內建的指紋辨識感測器,或是 FIDO 標準的實體金鑰,登入支援 FIDO 2 協定的原 生app 或網站。未來將有更多裝置支援 FIDO 2 認證,意味著「密碼時代」即將結束。
據 Dashlane 統計,現時每個網民要管理超過 200 個帳戶密碼,而預計五年內升至超過 400 個。密碼管理將成為網民一大難題,個人資料安全更是業界一大挑戰。有見及此,非牟利組織 FIDO(Fast Identity Online)聯盟於 2012 年成立,致力為各種網站和行動服務提供一套開放、互通的標準,以解決近年身分認證技術問題,讓使用者能擺脫傳統的輸入密碼辨識身分的方法。
FIDO 成立之初,已有 Google、PayPal、微軟等巨頭加入,至今已有超過 250 個成員,包括晶片、設備與生物認證研發組織,再加上網路服務商、金融機構乃至政府組織。近年生物認證技術突破,加上硬體安全模組技術成熟,FIDO 去年底公布 FIDO2 方案,獲得廣泛支持,支援 Mac OS X、Windows、Linux 等 OS,三大瀏覽器包括 Google Chrome、Microsoft Edge 和 Mozilla Firefox 都已支援 FIDO2,蘋果 Safari 支援則在預覽版階段。
雖然不少服務已經使用雙重認證方法,然而亦有研究員不斷發表破解證明,加上用戶仍須記住大量帳號及密碼,還未計網絡釣魚、中間人(Man-in-the-Middle)攻擊、個人資料外洩等問題帶來的隱憂,FIDO2 無疑是個出路。
FIDO2 協議結合了 W3C’s WebAuthn(Web Authentication)及 Client to Authenticator Protocol (CTAP),設計的特點是身分驗證進行於裝置端如手機、流動裝置或實體金鑰,FIDO 認證伺服器端(FIDO Authentication Server)只保存相對應的公鑰。同時,FIDO 支援生物辨識技術,以及硬體安全模組的搭配,大大提升便利與安全。
