為了將網路打造成對大眾而言更安全、更易於使用的空間,Apple、Google 和 Microsoft 今天共同宣布幾項計畫,以擴大支援 FIDO 聯盟和全球資訊網聯盟 (W3C) 共同制定的一般性無密碼登入標準。這項新功能將使網站和 app 得以為消費者帶來橫跨多種裝置和平台,更具持續性、更安全、更簡易的無密碼登入。
僅依賴密碼的身分驗證,是最重大的網路安全問題之一,對消費者而言,管理大量密碼是一項極為繁瑣的任務,這通常會導致消費者反覆使用相同的密碼登入不同服務。這種做法的代價高昂,可能導致帳戶接管、資料外洩,甚至身分被盜等問題。密碼管理器和傳統形式的雙重認證已漸漸改善這些問題,與此同時,整體產業也一直在進行合作,以創造更方便、更安全的登入技術。
基於標準的驗證功能得到擴展後,網頁和 app 將能提供端對端無密碼選項。使用者將可透過與解鎖裝置相同的操作,以指紋或臉部的簡單驗證,或裝置 PIN 等方式登入,他們在一天當中會多次進行此類操作。與密碼和傳統的多因素技術 (如以簡訊發送一次性密碼) 相比,這種新方法可以防範網路釣魚,登入安全性也將大幅躍升。
擴大支援無密碼標準
在 FIDO 聯盟和 W3C 的框架下,來自世界各地的數百家科技公司和服務提供者攜手合作,制定了數十億部裝置和所有現代 Web 瀏覽器皆支援的無密碼登入標準。Apple、Google 和 Microsoft 引領了這組擴充功能的開發工作,並正為各自的平台建立相關支援。
這幾家公司的平台已支援 FIDO 聯盟標準,可在數十億部領先業界的裝置上,實現無密碼登入功能,但在以前,使用者必須先用每部裝置逐一登入每個網站或 app,才能使用此項功能。今天宣布的新計畫,拓展了上述功能在平台上的實施,為使用者帶來兩項全新功能,以便實現更加順暢、安全的無密碼登入:
- 讓使用者在多種裝置 (包括全新裝置) 上,自動存取他們的 FIDO 登入憑證 (或稱為「密鑰」),而無須重新註冊每個帳戶。
- 讓使用者在行動裝置上使用 FIDO 認證,以透過附近的裝置登入 app 或網站,無論這些裝置執行的是何種 OS 平台或瀏覽器皆然。
除了打造更出色的使用者體驗,對基於標準的登入方式的廣泛支援,亦將讓服務提供者得以在不需要密碼的情況下提供 FIDO 憑證,以作為登入或恢復帳戶的另一種方式。
Apple、Google 和 Microsoft 平台預計在未來一年內實施這些全新功能。
FIDO 聯盟執行總監兼行銷長 Andrew Shikiar 表示:「更簡單、更強大的認證方式,不僅是 FIDO 聯盟的口號,也是我們制定規格與配置方針的指導原則。普及性與易用性是大規模採用認證的關鍵。Apple、Google 和 Microsoft 承諾在各自的平台與產品上支援此一使用者友善的創新,從而成為實現這項目標的助力,我們對此表達衷心讚許。在安全密鑰的應用持續發展的同時,此項新功能將帶來新一波低摩擦的 FIDO 實施方式,從而賦予服務提供者全方位的選項,以配置現代化的防釣魚認證方式。」
美國網路安全與基礎設施安全局 (CISA) 局長 Jen Easterly 表示:「由 FIDO 聯盟與全球資訊網聯盟開發、並由這些創新公司率先實踐的標準,是前瞻性思考的體現,這將從根本上讓美國人以更安全的方式使用網路。我衷心讚揚私部門夥伴開放標準的承諾,這將使服務提供者更為靈活,也為消費者帶來更出色的使用者體驗。在 CISA,我們致力於為所有美國人提升網路安全性基準。今天宣布的措施是網路安全的重要里程碑,有助於鼓勵平台內建最佳安全實踐,並協助我們漸漸脫離密碼。網路安全是一項團隊運動,我們很樂意持續推展合作。」
Apple 平台產品行銷資深總監 Kurt Knight 表示:「我們不但奉易用性和功能性為產品設計宗旨,更將隱私與安全視為重中之重。我們承諾打造提供最高安全性,以及透明的使用者體驗的產品,而與產業合作建立更安全的登入新方式,從而提供更強大的防護,並消除密碼的弊端,是此一承諾的核心。這一切的目標,都是為了保護使用者私人資訊的安全。」
Google 產品管理資深總監 Mark Risher 表示:「這項里程碑,彰顯了整體產業通力合作,以加強防護,並淘汰過時的密碼式認證。對 Google 而言,這是我們近十年來與 FIDO 合作的成果,也是為建設無密碼未來而持續進行的創新工作之一。我們期待在 Chrome、ChromeOS、Android 和其他平台上,普及基於 FIDO 標準的技術,並鼓勵 app 與網站開發者採用此一標準,以讓世界各地的使用者可以安全、漸進地遠離使用密碼帶來的風險與麻煩。」
Microsoft 身份認證項目管理副總裁 Alex Simons 表示:「向無密碼世界的徹底轉型,始於消費者將此一概念融入日常生活。任何有望成功的解決方案,都必須比目前通用的密碼和傳統多因素認證方式更為安全、方便而快速。透過跨平台的社群通力合作,我們終於得以實現此一願景,在淘汰密碼的過程中取得重大進展。我們認為,基於 FIDO 標準的憑證在消費者與企業兩種場景中,都有著光輝的前景。我們將繼續在 Microsoft app 與服務中,為此建立支援。」