HW2 CYBERSEC 2021 心得報告

    藉由課程第一次知道CYBERSEC 2021 臺灣資安大會這個活動,利用5/5停課的時間去參加,感覺最近參加了不少跟資安相關的活動,像是北科大的資安座談會、資安女婕思還有這次的活動。一進到場館其實有被震撼到,參展的商家還真不少,看到了不少最近才漸漸熟悉的名詞,像是釣魚網站、勒索病毒、DDoS攻擊……等等。

    隨著網路興起,許多資料在網路上流通,網路安全成為不容忽視的問題,駭客攻擊、網路勒索及詐騙層出不窮,政府更提出「資安即國安」的國家發展方針。

    令我印象最深的是FIDO,我記得我們班有人上學期有組專題與這有關,當時聽完只知道這跟登入相關,到了現場發現蠻多公司都有應用FIDO。

    隨著資安問題愈來越受重視,傳統登入時的密碼問題不斷,使用者常常遇到忘記密碼的窘境,現階段許多服務供應商在身分安全方面都是建議使用者設定強密碼,或者透過兩階段驗證、簡訊OTP的方式來強化帳戶安全性,然而這些方法並無法完全防堵駭客的暴力破解以及釣魚網站的風險。對此,無密碼已然成為現在的國際趨勢。

    FIDO 代表在線快速身份認證 (Fast Identity Online)。它是一種身份驗證方法,旨在利用和信任設備的本地內置功能(例如指紋讀取器,面部識別等)來驗證用戶身份。不同於傳統網路服務的密碼驗證,FIDO認證模式是將身分「驗證」與「識別」拆分開來,用戶端需搭配認證器來做到身分驗證,並採用公私鑰架構來確保安全,同時在FIDO伺服器上,只有保存公鑰不保存私鑰,因此也就不存在分享祕密的問題。

    FIDO用戶端搭配驗證器,可提供身份驗證,FIDO認證伺服器端則負責身分識別,私鑰保存在認證器內部,將受到不同層級的保護,而公鑰則存放在FIDO認證伺服器端。這也就意味著,在FIDO驗證模式下,少了傳統密碼存放在被攔截與被破解的風險,由於伺服器端不再集中存放密碼,也能夠避免過去整批帳密被竊取的風險。

    目前FIDO包含3大認證協議:

  • UAF:是免密碼輸入的認證協定,包括使用生物辨識技術
  • U2F:是用於雙因素認證,以強化身分認證安全性
  • FIDO2:主要包含W3C全新的網路驗證標準WebAuthn,以及FIDO的用戶端至驗證器協定CTAP規格,可說是包含UAF與U2F的部分特性,但又不盡相同,本質上還是瀏覽器的應用