比密碼更安全的加密技術卻難以推廣,無密碼時代何時來臨?

作者 | 發布日期 2021 年 09 月 28 日 8:15 | 分類 Android 手機 , iPhone , 手機 Telegram share ! follow us in feedly


微軟最近透過 Authenticator 服務,讓微軟帳號直接無密碼登入,許多評論認為這開啟無密碼時代,但所謂「無密碼應用」相關技術早就存在,甚至健保快易通登入都有利用相關無密碼技術。

在科技滲入生活的時代,密碼成為我們不得不為的技術,無論網路銀行、社群軟體或電子商務,各類密碼充斥生活。密碼加入公鑰或對稱金鑰等技術後,許多人認為越複雜的密碼就代表越能保障安全,但密碼早就沒法真正保護數位資產──況且這個密碼需求多樣化時代。

現在托加密金鑰的福,要真的「破解」密碼並不容易,所以通常取得密碼或帳號的管道是找到程式或網站後門,甚至電腦植入木馬等是最常見的破解法,換句話說,攻擊者會利用各種方法誘騙你點擊某些不明連結,以攻擊你取得各種個資。

密碼代管技術

這類技術是最常見的密碼相關技術,比較直接的就像 1Password、Dashlane、Elpass 等服務:將密碼儲存於他們的服務,只需記住主要密碼就可以,但要注意這些安全機制就是「連他們本身都找不回你的密碼」,所以一旦忘記主密碼就糟了,這種情況最常發生在經常使用 Touch ID 或指紋辨識開啟 1Password 的人。

另一種密碼代管是讓 Google 或蘋果平台商記住密碼,並輸入電腦密碼、指紋辨識等協助你自動填入密碼,同時這些服務還會協助你製作高強度密碼,讓密碼不容易被猜透。但自動創造高強度密碼的「技術」,現今看沒有太大意義。比起會被攻擊或測錄知道密碼的技術來說,使用特殊生物特徵辨識更不容易被窺探,同時也沒有忘記密碼的風險。

中國行之有年使用手機認證登入取代密碼登入,由於近年對手機實名制要求漸趨嚴格(因詐騙橫行,台灣也越來越要求實名制),讓簡訊認證成為帳號最簡便的登入方式,基本上要完成簡訊認證,手機就必須要在身邊,所以這種登入方式在中國很流行,近年有些台灣服務也開始使用簡訊登入取代傳統密碼登入。

採用密碼外辨識的 FIDO 認證

FIDO 是 Fast Identity Online 簡稱,使用特定硬體或生物特徵為身分驗證的工具,如指紋、虹膜、經認證的特定手機應用、手機號碼。簡單來說,可證明你是誰的工具都能成為取代密碼的「鑰匙」,這就是 FIDO 聯盟倡導「解決大量用戶密碼」的方法,同時也提供公鑰加密技術。

微軟與 Google 都有推出 Authenticator 服務,如果使用者首次登入某裝置(有些裝置或服務會因不讓服務辨識裝置且更換 IP,需重新登入),輸入密碼後,還需要輸入 Authenticator 固定更換的密碼才能登入。Apple ID 則把認證碼放在長期登入的裝置,以確認登入新裝置的 Apple ID 是本人無誤。

這類密碼上「再加防護」,如跳過原有密碼認證效果,安全性不會打折──因透過生物認證或特定公鑰的認證,遠比傳統密碼安全可靠。如果最近有領五倍券、因疫苗申請健保卡帳號的人,會發現健保卡除了原本密碼,還需要輸入一次傳送到你手機簡訊的健保 OTP 驗證碼,就是類似加密技術,擁有這些技術就可無密碼登入,這些技術之所以保留密碼,主要是讓使用者安心。

不過本文使用「遠比……可靠」、「比較可靠」等語並不代表「絕對可靠」,這世界並不存在絕對安全的密碼儲存或登入模式,也沒有永遠不被破解的加密技術。宣稱保護 8 萬員工不再遭入侵的 Google Titan 硬體密鑰就被白帽駭客破解──令人慶幸的是要破解這密鑰難度不低。

有 90% 的 Gmail 使用者沒有加入兩階段認證

目前 Google、微軟等大公司都是 FIDO 聯盟會員,擁有大量 Touch ID、Face ID 資料的蘋果也於 2020 年初成為 FIDO 聯盟一席。Google、蘋果都在用自己的方法解決無密碼登入問題:Android 於 2019 年加入藍牙連接,讓手機權充硬體密鑰開啟電腦的方法;蘋果今年加入以 Apple Watch 解鎖 iPhone 的功能,以解決無法使用 Face ID 解鎖手機的窘境。即使聯繫裝置密鑰的藍牙標準被批評安全係數太低,但這些公司都在想方設法解決不再安全的網路環境,想辦法讓使用者用更多密碼。

當生物辨識精準度越高,要仿造生物辨識或錯認難度就越高,這也是為什麼蘋果寧可保留瀏海,也不放棄 Face ID 辨識技術──因透過相機鏡頭的臉部辨識精準度差異太大。

據統計,90% 的 Gmail 用戶仍然沒有開啟二階段認證──即使 Gmail 已成為許多人公私都用有的重要郵件系統,許多人還對自己的帳號安全掉以輕心。換句話說,即使增加再多技術,許多人都寧願要「方便」捨棄「安全」,這對提供服務的大公司來說才是令人頭痛之處──況且過於依賴手機,就是許多人換手機時會歷經痛苦的解鎖到重新綁定過程。

現在主流程式大都使用兩階段認證,就用吧!與刷卡後簡訊通知一樣,這些小動作大部分會增加一點困擾,但讓手機資料更安全。

(首圖來源:pixabay

延伸閱讀: