從帳號密碼到生物辨識，FIDO 讓你擺脫忘記密碼的困擾

過去的「密碼」生態？

你曾有忘記密碼的經驗嗎？數位時代下近乎每個軟體都需要透過設置密碼，以確定使用者身分，要記住多組密碼對使用者的記憶力來說是一種考驗，最令人擔憂的是還需面對資安漏洞的問題。

• 不便性：
  • 研究顯示近有 78％ 的人曾有忘記密碼的經驗，因應每個軟體對於密碼的設置要求都不同，例如：不能與生日相同、必須有大小寫、有非字元符號等等，不僅難以記住，要管理多組密碼也是使用上的一大負擔。（DIW）
  • 根據 NordPass 調查也指出，每人平均存有 100 組密碼，因需要管理的數量太多，在 18 至 24 歲的使用者中，高達 76% 的人會選擇重複使用某段組合，這對帳號的安全性是很大威脅。（tech.co）
• 危險性：
  • 在伺服器中，會有一個資料庫儲存所有使用者的帳號及密碼，因此若駭客要攻擊，其只需拿到一組帳號的登入權限，便可竊取系統中所有用戶的資訊。
  • Verizon 2022 年 DBIR 數據洩露調查報告更顯示，超過 80% 的數據洩露是由密碼薄弱或外洩所造成，可見現今的密碼生態無疑充滿著許多不便及危險。（Verizon）

無密碼時代

無密碼的概念源自於 FIDO（Fast Identity Online）一項國際認證標準，其宗旨為提供更快速、安全、便利的身分驗證標準，以生物辨識如：指紋、Face ID、Touch ID等，取代帳號密碼的輸入，簡單來說「以前認的是密碼，現在則是人」。那麼，導入 FIDO 有何好處？

• 標準化：
  • 數位資安作家林欣曄分享，FIDO 建立了標準化接口，把生物辨識整合到各種認證流程裡。現在常態使用上，從解鎖 iPhone、打開網銀、到登入 Gmail，需操作一連串不同的認證機制。
  • 但目前已有多個科技巨擘承諾支援 FIDO 標準，包含 Google、Micorsoft、Apple 等，因此在跨平台之間，便可使用同一套認證方式。
• 隱私安全：
  • FIDO 的特色在於「公開金鑰加密」，公鑰會儲存在服務方的伺服器中，再用個人的私鑰解鎖，而私鑰僅會存於使用者的硬體設備，非伺服器上，可大幅地降低資料透過網路外洩的可能。（偉康科技）
  • 中研院資訊科技創新研究中心黃彥男主任表示，FIDO 認的是人，所有的登入皆可設定要讓哪些「人」，而非哪些「密碼」有權限存取資料，任何行為也可以透過系統追蹤到「人」本身。
• 降低成本：
  • Forrester Research 調查發現密碼重置成本每次約需 70 美元，林欣曄也說明導入 FIDO 後，服務端不需再聘用更多的客服、IT 人力，協助解決忘記密碼、帳號被盜的問題。（hypr）
  • 過去推出一款 APP，可能要考慮分別開發安卓、IOS 兩套系統，才能滿足所有不同的使用者，但是 FIDO 提升各個平台的相容性，同一個系統可運用在不同的瀏覽器或平台，長遠來看可降低企業成本。
• 提升使用體驗：
  • FIDO 有助於提高用戶體驗和生產力，根據 iProov 研究，消費者會因忘記密碼而放棄線上購物，無密碼身份驗證便捷的登入，能夠減少用戶花在管理密碼上的時間。（TWNIC）

硬體限制？

FIDO 身分驗證的範疇，包括指紋、臉部識別、虹膜等，在日常中似乎仍以手機、平板為多數，在電腦上如何突破硬體設備的限制？

• 語音：黃彥男分享「聲音」特徵也是生物辨識的一種，只要將電腦外接具麥克風功能的耳機，便可透過語音的方式驗證。
• 智慧型手機：偉康科技策略長黃閔綉指出，偉康將智慧型手機當作驗證器使用，支援 Windows／Linux 電腦無密碼登入，使用者僅需透過個人手機裝置掃描電腦所顯示的 QR Code，便可完成驗證。
• 外接式辨識器：黃閔綉補充針對無法使用手機的場域，目前市面上也有外接式指紋辨識 USB 或卡片，可透過 NFC 或藍牙感應。
  • 林欣曄也提醒硬體的調整上並不難，反而是當對接辨識機後，軟體能不能與電腦相容，因此筆電大廠也致力走向讓他們的產品，可以配合最新的科技。
• 林欣曄認為數位科技的應用，會有一定的硬體限制，就算網路的使用已是習以為常，但傳統手機的族群仍會有代溝，因此硬體的限制會隨著每個人設備支援的程度不一，因人而異。
• 黃閔綉提到隨著科技的進步，開始出現了各種不同的使用場景，為來思考的方向有很大部份也在於，到底無密碼還可以放在什麼樣子的場域，提供更完整、更豐富的使用體驗。

未來會如何？

目前 FIDO 屬推廣階段，在普及前價格仍較高，若不導入，還是可以繼續使用既有的做法，對業務上不會造成太大影響，因此企業的接受度有限。

• 林欣曄說明導入 FIDO 反而較像是多了一種認證選擇，不需要因此而拋棄原有開發的軟硬體設備，並不是每個用戶都一定接受 FIDO，仍會有使用帳號密碼登入的需求。
• 黃閔綉解釋近期受到政府機關積極推動零信任架構，加上許多國際大廠連署加入 FIDO，進而影響 FIDO 逐漸從 Nice to have 走到 Must have 的趨勢。
• 除了資安需求較高的產業，如：金融業、科技業等，其實 FIDO 幾乎可用於所有產業，只要需要輸入帳號密碼的任何操作，都可以應用，如物聯網、網路購物、電信業者，政府機關等等。
• 詐騙技術隨著科技日新月異愈來愈厲害，現今已出現能夠欺騙指紋辨識、臉部辨識的技術，過去若密碼被盜竊，只需更改還算簡單，但生物辨識若被盜竊幾乎無法更改，FIDO 在安全性的考量，至始至終都會是需要不斷突破的地方。（Matters）

當遺失裝置時，私鑰該如何處理？FIDO 與一般手機品牌早已運用多年的指紋、臉部辨識系統有何不同？跟著《旭時報》邀請的三位與談人，一起深度探討 FIDO。