第十屆金融CIO高峰會冬季場會後報導
在時下眾多資料外洩事件中,根據資安公司深入調查統計,有超過80%肇因於密碼外洩。過去因應網路金融服務所推出的OTP認證、雙因子認證等,一度被認為是高安全性的設計。不過在駭客攻擊手法持續進化,加上電腦運算能力大幅攀升下,頻頻出現保護機制被破解的安全性問題。因此,2016年美國國家標準暨技術研究院(NIST)宣布將排除不安全的傳統簡訊OTP,因為簡訊雙重驗證其實是在分享秘密,而非保護秘密。
為解決密碼頻頻遭到破解的問題,2012年促使許多業者跨界合作組成FIDO(Fast Identity Online)聯盟,目前成員全球超過260家公司。主要工作在制定公開標準解決密碼問題,無論是App還是網頁,FIDO驗證均提供跨平台、安全且快速的無密碼身份驗證體驗,目前驗證標準有 FIDO UAF/U2F 與 FIDO2 ,後者更成為W3C推薦標準。
無密碼身份驗證最大好處,在於 FIDO Server 僅存放用戶公鑰驗證簽章,沒有密碼盜用危機。其次,由於簽章是以高安全強度金鑰完成,傳輸過程即使遭攔截也難以破解。最後,可使用指紋、虹膜、臉孔辨識確認身分,能免除密碼盜用危機,也提供友善便利的用戶體驗。
「偉康科技是唯一有完整 FIDO UAF、FIDO2 解決方案的業者。擁有強大研發能力的偉康科技,FIDO解決方案有多項特色,首先通過國際FIDO聯盟各項認證,可提供合規解決方案。」偉康科技副總經理陳怡良解釋:「其次,產品設定簡便,具備視覺化介面後台,參數設定簡單明瞭。第三為支援多平台,手機SDK支援iOS10以上及Android6以上。」
偉康科技FIDO解決方案的第四點特色,為提供多元應用、客製化服務介面,提升應用價值,如 QR Code 登入、裝置綁定整合、裝置型號黑白名單。最後,FIDO Server 依用量可彈性、快速擴展,可兼顧預算與未來發展。
(文/林裕洋)
