編譯/鄭智懷
長期以來,各界仰賴密碼及各式衍生方案與工具保護手上的實體與數位資產;然而,資安技術的發展使攻擊者只要購買或竊取憑據就可以突破重重防守,執行惡意活動。資安公司技術長Jasson Casey表示,結合生物識別、多重要素驗證(MFA)等技術,提供用戶無須任何密碼即可登入設備與帳戶之線上快速身分驗證(FIDO2)服務的時代已經來臨。
Jasson Casey認為,傳統的資安機制要求用戶在不同的設備、帳戶使用不重複的強密碼。然而,上述的作法已經無法因應現代的資安威脅。一方面,大量且冗長的密碼容易使用戶產生疲勞,從而犯下如多組重複密碼輪流使用的錯誤;另一方面,攻擊者可以透過社交工程(Social Engineering)等攻擊方式,說服受害者親手交出手上看似萬無一失的強密碼,而不需任何複雜且可能需要長時間才能奏效的技術,就可獲得欲取得的各式資料。
即使是採用基於密碼概念打造的密碼管理器,用戶也同樣會因上述的攻擊手法將密碼提供給不法分子,使該工具毫無用武之地。此外,由於密碼管理器服務商將各用戶的密碼集中管理,只要攻擊方突破防線,就可以獲得大量可供犯罪活動使用的資料。
而目前流行的多重要素驗證雖然擁有比傳統密碼技術更高的安全性,但實際上也可能因網路釣魚等社交工程攻擊,或是攻擊方直接繞過,入侵用戶設備。
基於上述理由,Jasson Casey主張線上快速身分驗證將成為當前驗證技術的主流。所謂線上快速身分驗證,是由國際身分識別標準組織FIDO Alliance與負責制定網路標準的全球資訊網路聯盟(W3C)共同推動,旨在實現基於無密碼與零信任為基礎的身分驗證技術。用戶只要用手上內建安全模組的裝置,例如手機存放專屬個人的金鑰與生物特徵,就可以在伺服器上執行認證程序。
Jasson Casey強調,線上快速身分驗證同時採用生物識別與多重要素驗證技術,大幅降低社交工程攻擊成功的可能性;該技術的機制還可以減輕中間人,例如前述的密碼管理器服務商受到攻擊,密碼大量洩漏,以及端點攻擊的影響,形成安全團隊與用戶之間的雙贏局面。
資料來源:Help Net Security
瀏覽 8,361 次
