什麼是無密碼登入?
又為何常與FIDO有所關連?
無密碼登入顧名思義就是不需要密碼就可以登入 那原本我們關切的使用者密碼安全.密碼強化在沒有密碼後不就等同放棄密碼的保護嗎?
首先無密碼登入並不表示應用系統或設備內的身分帳號本身沒有密碼也不代表不需要強化使用者的密碼,無密碼登入以我的觀點來說不重點其實不在於帳號本身是否有密碼? 而在於避免以密碼作為身分識別的唯一且第一個要求.
在討論這個議題前我們先把角色互換一下假設各位都是駭客第一步是甚麼? 當然是取得身分識別白話講就是盜用帳號 而這個步驟大多的作法不是透過竊取密碼.植入後門程式.側錄密碼就是設計一個假造的網站來騙取密碼…無論任何方式只要能取得密碼就等於成功了第一步,反之若登入時不需密碼而是透過密碼以外的方式來登入例如手機驗證.OTP驗證讓駭客難以取得或擷取密碼就可以成功杜絕身分盜用的問題這就是無密碼登入概念真正的本意
所謂的無密碼登入並不是鼓勵企業所有系統都不需要密碼僅透過其它方式來驗證而是希望除了密碼以外能夠有更嚴謹的驗證方式,例如大家耳熟能詳的二次驗證.多因子驗證..等就是為了提高身分驗證的安全性所設計的系統也確實的減少身分識別被盜用的風險然而過多的認證卻也無疑造成使用者登入存取上的不方便性尤其是OTP…等傳統的Token驗證方式 字體小.週期短對年紀稍大的使用者略有難處.這時較人性化的身分驗證方式就因應而生,例如FIDO.手機APP PUSH認證.Windows Hello…ETC 讓密碼驗證的變成次要或省略而由手機.FIDO…其它非密碼方式來做為主要的驗證方法就是無密碼登入的設計初衷,那為何與FIDO有關?
FIDO(Fast IDentity Online)聯盟是成立於2012年7月的行業協會。其宗旨是為解決強制認證設備的交互性和用戶面臨大量複雜的用戶名和密碼透過公開金鑰加密的架構進行多因素驗證來增加安全性,沒有電池壽命的問題.無須輸入一次性密碼只需插入或觸控認證的FIDO Key由FIDO第三方認證來決定認證是否通過與否.透過這種第三方的認證方式大大的提高了使用者驗證體驗,另一種常用來作為無密碼登入的方式就屬於手機 APP或Windows Hello…等方法不僅使用方便也無須額外的裝置成本所以簡單說” FIDO是無密碼登入的其中一種方式但非唯一.企業或機關中初期最容易達成的無密碼登入的裝置其實是手機”
無密碼就是萬靈丹?
其實無密碼並非保障安全也非萬靈丹Cure for All 而是相對安全的解決方案,因應登入的系統.環境與需求而決定 掌握由外而內來導入就沒錯,例如員工在外須從外部存取VPN.遠端桌面…等系統時想立即提高安全性又無需額外添購認證裝置前提下透過手機認證似乎是比較可行作法假設換個場景在廠區.研究單位或機關內…恐怕無法攜帶手機又不想使用傳統的Token或OTP方式來登入這時採用FIDO或Windows Hello來登入就是另一種可能的選擇認證快速方便且成本較傳統Token或OTP來的低到底哪些系統該優先導入無密碼登入?
從外部可存取的Web應用系統呢?
外部可存取的Web應用系統肯定是首要的攻擊目標,然而Web應用系統的無密碼或是二次驗證導入需注意整合上的問題,現實來說大多數的Web應用系統還無法立即上線整合現行的多因子驗證系統主要的原因在於系統本身並非具有SAML.Oauth…等第三方認證的原生支援因此介接起來就會相對困難,無論採用何種第三方認證現行的Web Applications都是需要額外客制不是改寫程式就是透過LDAP認證轉向…等方式來解決.然而無論以何種方式導入都很曠日廢時,此時就可以考慮採用應用系統存取閘道解決方案的方式來達成不僅可以有限簡化每個網站都需要二次驗證整合的繁瑣流程與認證程序也有效保護應用系統直接對外發佈所產生的風險
雲端Cloud Applications?
接下來我們要考慮的就是雲端的Applicaitons? 我們都深知導入雲端與地端不同的認證系統似乎不是一種好方法在實務上不同環境架構與使用者情境下全部由雲端上的認證來決定也可能把系統的運行建立在雲端的穩定性上 雲端常常是駭客主要的目標因此雲端常常被駭發生問題,這點我相信大家都時有所聞因此把地端密碼同步到雲端可能真的要自求多福了! 此時若能採用具備支援雲端標準協定的存取閘道就一個好方法一次認證同時SSO代登入本地與雲端的應用系統也無須管理多套認證系統架構而也不必要把地端的密碼同步到雲端上又能保有地端一樣的身分識別驗證 (請參考Colorlife零信任ZTA架構)
接下來就剩本地端的Win64應用系統程式的二次驗證了? 這個短時間內確實棘手 以現行的應用程式來說大多不支援標準的第三方認證例如Radius.SAML或Oauth..訪間有許多Agent Base等類代登入或機器人登入的方式來解決然而以實務來說這種登入方式可能存在許多安全性.支援性市面上若要找尋這類的Agent base Win64 SSO不過安全性太低登入的程序也不夠嚴謹只要第一關被攻破其它系統就直接代登入了,此時請可以利用Colorlife零信任ZTA身分識別架構來滿足此一需求
結論:針對機關或企業零信任身分識別驗證的導入建議的步驟如下(依安全風險為順序請參考Colorlife零信任ZTA架構):
想了解更多無密碼登入的應用實務與評估前的建議歡迎與我們聯繫
(詢問關鍵字 Colorlife零信任ZTA架構)