美國CISA力挺FIDO無密碼身分認證機制,將成多因素認證唯一標準

美國國土安全部的網路安全暨基礎設施安全局(CISA)總監Jen Easterly鼓勵各界積極導入FIDO無密碼數位身分認證機制,藉此取代傳統的多因素認證機制,例如簡訊OTP等。

 

Jen Easterly推特

每年十月,美國白宮都將推動一整個月的「網路安全意識月」(Cybersecurity Awareness Month),身為美國國土安全部的網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency,CISA)總監Jen Easterly更是積極四處奔波,希望可以提升美國民眾的資安意識。

她也於日前(10月18日)公開發文並且於推特錄製影片表示,將力挺FIDO(Fast Identity Online)聯盟推動的支援指紋等生物辨識及FIDO載具的無密碼數位身分認證機制,希望可以取代目前各行各業常使用的簡訊OTP(一次性密碼)的MFA(多因素認證)機制,讓FIDO成為新世代的數位身分認證機制。

駭客已經可以繞過傳統多因素認證機制

在美國網路安全意識月的重點,其中有一個就是:希望每個人可以確保使用網路各種服務的安全性,包括電子郵件、銀行、各種社交媒體以及需要經過線上驗證身分的各種服務的帳號安全性,並針對相關的線上服務啟動MFA認證機制,而美國總統拜登在去年便下令,要求美國聯邦政府以及所屬機關構,都必須積極推動多因素認證,而FIDO則是被大力推廣的無密碼數位身分認證機制。

Jen Easterly表示,有許多行業或是技術領先的業者,都已經率先推動或強制要求使用者採用多因素認證機制,確保線上服務使用者的安全性。但她也引述一份頂尖資訊服務業者的數據指出,只有四分之一的企業客戶已經註冊多因素認證服務;而已經註冊的企業客戶中,更只有大概三分之一的系統管理員(system administrators),使用多因素認證機制確保其數位身分認證的安全性。

不過,採用多因素認證機制並不是萬能,過去幾年也陸續發生資安事件,有一些駭客已經可以繞過傳統的多因素認證機制,例如臺灣也曾經發生過的釣魚簡訊,或是其他身分認證App、推送通知等認證機制。

她認為,這些繞過MFA的工具包(Toolkit)可以降低駭客的攻擊成本,像是憑證釣魚(Credential phishing)等事件也越來越常見,只要駭客願意花時間、金錢和心力,早晚都可以駭入企業內部,而企業內的每一個人都可能是受駭者。

FIDO私鑰存在使用者端的裝置上,難被駭客破解

因為已經有駭客可以繞過這些傳統的MFA機制,勢必要有新的認證機制取代,而由PayPal、英飛凌,以及Google和微軟等科技大廠組成的FIDO聯盟,則重新打造一個可以對抗網路釣魚的多因素認證機制,而FIDO通訊協定可以應用在現有的作業系統、網路瀏覽器、手機和平板電腦中,也有許多線上服務和各種企業都積極採用並推動FIDO無密碼身分認證機制。

Jen Easterly指出,沒有百分之百的安全,再安全的MFA機制都可能遭到破解,不過,因為FIDO無密碼身分認證機制是將公鑰存放在FIDO伺服器中,解密的私鑰則是存放在使用者端的作業系統、瀏覽器、手機或是平板電腦等,「如果員工遭到釣魚郵件的攻擊,駭客因為無法取得使用者端儲存的FIDO私鑰,攻擊也不會成功。」她說。

Jen Easterly也鼓勵所有企業的執行長,應該要確保FIDO會在企業系統導入的藍圖內,她更認為,未來FIDO將是多因素認證唯一的標準,企業應該積極跟上這股FIDO浪潮。

https://www.ithome.com.tw/news/153767

您可能也會喜歡…