當前的身分驗證機制從最初的密碼時代,發展到強固式密碼時代,如今更逐步跨進無密碼時代。儘管無密碼被視為時代潮流與必然趨勢,但當前主流的身分驗證機制仍停留在需要密碼的一次性密碼(OTP)、單一登入(SSO)、雙因素認證(2FA)或多因素認證(MFA)上。即使當前已有一些廠商開始推動無密碼登入機制,但卻各自為政,缺乏可以通行所有裝置、系統及平台的通用標準及驗證機制。
為了慶祝每年 5 月第一個星期四的「世界密碼日」(今年是 5 月 5 日),蘋果、Google 及微軟宣布擴大支援 FIDO 聯盟及全球資訊網聯盟(World Wide Web Consortium,W3C)所建立的共通無密碼登入標準「Passkey」。有了三大科技巨頭的強力支援,推行已久但一直沒有全面性進展的無密碼認證,如今宛如吃了定心丸,大大加速跨平台無密碼登入機制的普及速度。
「Passkey」標準又稱為「多裝置 FIDO 憑證」(Multi-Device FIDO Credential)標準,它完全不需密碼,使用者若想在自己筆電登錄某 App 或網站時,便可將自己的手機當作認證器(Authenticator),使用者只需透過 PIN 碼或生物辨識進行認證後,便能輕鬆完成認證,接著就能在筆電上存取想要使用的 App 或網站。再者,如果使用者想在手機上安全存取同一 App 或網站服務時,也可透過其他手機、平板或筆電等裝置充當認證器。也就是說,使用者可以設定不同裝置自動存取 FIDO 登入憑證來當作認證器使用,不需再為不同裝置重新登入不同帳號。
使用者筆電與充當認證器的手機之間是透過藍牙連接的,基本上藍牙通訊非要實體近接不可,所以使用者手機與筆電必須靠近才能完成認證作業,如此一來也能有效防止網路釣魚攻擊的危害。需要注意的是,想要進行「Passkey」無密碼認證,那麼使用者裝置都必須內建藍牙功能才行,這對當前主流智慧型手機與筆電來說並非難事,但對舊款桌機來說就有點為難了。
蘋果目前已開始支援 Passkey 標準,並已有運行在 iOS 及 MacOS Monterey 上的相關系統推出,只不過該系統與其他平台不相容。再就 Google 來說,目前其 Android 上的 Play 服務也開始支援 Passkey 標準,相信不久後,即使再老舊的 Android 裝置也會支援該標準。不論如何,根據 FIDO 聯盟的說法,明年這些新功能有可能在蘋果、Google 及微軟的平台上實現。所以,如果沒什麼意外的話,屆時我們將能享受真正的跨平台無密碼登入驗證功能。
(首圖來源:FIDO)
科技新報粉絲團
加入好友
訂閱免費電子報
