隨著網(wǎng)絡(luò)時(shí)代來(lái)臨，各種日常生活的服務(wù)開(kāi)始透過(guò)網(wǎng)絡(luò)云端化，我們要管理記憶越來(lái)越多的賬號(hào)及密碼，除了日益龐大的賬號(hào)管理負(fù)擔(dān)外，隨著網(wǎng)絡(luò)發(fā)達(dá)，數(shù)據(jù)外泄也變成了普遍現(xiàn)象，你我的帳密個(gè)資都可能會(huì)因?yàn)榫W(wǎng)站的漏洞或各種數(shù)字病毒而導(dǎo)致外流。

以Google去年調(diào)查的數(shù)據(jù)為例，在臺(tái)灣，曾遭遇個(gè)人資料外泄的比例高達(dá)70%，在受訪的亞洲國(guó)家中僅低于越南的78%。當(dāng)中原因有50%的人密碼設(shè)計(jì)太過(guò)簡(jiǎn)易、86%的人會(huì)將單一密碼重復(fù)用于多個(gè)網(wǎng)站。因此兩步驟驗(yàn)證(2FA)已成為當(dāng)前網(wǎng)絡(luò)世界的重要工具。

兩步驟驗(yàn)證，顧名思義就是賬號(hào)需要經(jīng)過(guò)兩次的登入驗(yàn)證，避免單次登入因密碼外泄而被有心人士竊占，最常見(jiàn)的有SMS簡(jiǎn)訊以及Email連結(jié)的第二驗(yàn)證。在本篇文章中，百佳泰要介紹一種在臺(tái)灣尚未普及，但在歐美日市場(chǎng)已經(jīng)很熱銷(xiāo)的資安商品──兩步驟驗(yàn)證實(shí)體密鑰。

Yubico的各式實(shí)體密鑰

大部分用戶會(huì)使用電話簡(jiǎn)訊或Email認(rèn)證連結(jié)，進(jìn)行第二重的登入驗(yàn)證，但也有很多消費(fèi)者未必隨時(shí)有網(wǎng)絡(luò)或手機(jī)信號(hào)，因而更中意這種個(gè)人專(zhuān)屬、只認(rèn)硬件的小工具。受疫情影響，很多歐美企業(yè)的員工都長(zhǎng)期WFH，在沒(méi)有資安布署的居家環(huán)境下登入工作相關(guān)服務(wù)，造成情報(bào)外泄的可能性大增，因此許多大企業(yè)也偏愛(ài)這種產(chǎn)品，訂制給員工們使用以確保信息安全。

實(shí)體密鑰的使用十分簡(jiǎn)單，插入個(gè)人計(jì)算機(jī)后即會(huì)自動(dòng)安裝驅(qū)動(dòng)，再來(lái)是進(jìn)入各種服務(wù)里的兩步驟驗(yàn)證頁(yè)面進(jìn)行啟用設(shè)定，將密鑰注冊(cè)后命名即可，前后不超過(guò)三分鐘的時(shí)間。

Facebook的雙重驗(yàn)證密鑰設(shè)定頁(yè)面

日后當(dāng)?shù)侨氪朔?wù)時(shí)，第一階段的登入密碼輸入完成后，就會(huì)跳出請(qǐng)插入實(shí)體密鑰的頁(yè)面，插入后輕觸密鑰的感應(yīng)鈕即可通過(guò)認(rèn)證。

當(dāng)輸入第一道密碼后，瀏覽器會(huì)跳出頁(yè)面讓你插入已注冊(cè)的實(shí)體密鑰

當(dāng)插入了沒(méi)有注冊(cè)過(guò)的密鑰時(shí)，就無(wú)法通過(guò)驗(yàn)證

 

由于實(shí)體密鑰為獨(dú)一性的，當(dāng)密鑰壞掉或遺失時(shí)，可能再也無(wú)法登入服務(wù)，所以建議使用者準(zhǔn)備復(fù)數(shù)密鑰注冊(cè)，或是設(shè)定備援方式(密碼或簡(jiǎn)訊)避免窘境發(fā)生。

提到實(shí)體密鑰，就必須介紹其所依據(jù)的資安規(guī)范，也就是FIDO (Fast Identity Online）。FIDO 是指由同名的非營(yíng)利組織 FIDO 聯(lián)盟所訂定的一套網(wǎng)絡(luò)識(shí)別標(biāo)準(zhǔn)，目的是確保登入流程中服務(wù)器及終端裝置協(xié)議的安全性。而這套識(shí)別標(biāo)準(zhǔn)透過(guò)公鑰加密的架構(gòu)，進(jìn)行多重因素驗(yàn)證（MFA）以及生物辨識(shí)登入來(lái)保護(hù)云端賬號(hào)的數(shù)據(jù)。關(guān)于FIDO聯(lián)盟的詳細(xì)歷史，可至相關(guān)網(wǎng)站獲得進(jìn)一步的信息，本文中百佳泰先從中列舉FIDO最重要的三大認(rèn)證協(xié)議給大家做初步了解。

FIDO UAF (Universal Authentication Framework)
主要使用生物辨識(shí)來(lái)進(jìn)行無(wú)密碼登入的多重驗(yàn)證協(xié)議。常見(jiàn)的有指紋辨識(shí)，聲音辨識(shí)等。

FIDO U2F (Universal Second Factor)
雙因素驗(yàn)證。本文介紹的實(shí)體密鑰主要就是支持此種協(xié)議，透過(guò)加密的實(shí)體密鑰來(lái)實(shí)現(xiàn)無(wú)密碼登入。

FIDO2
最新的FIDO協(xié)議，是由萬(wàn)維網(wǎng)聯(lián)合會(huì)（W3C）的網(wǎng)絡(luò)驗(yàn)證規(guī)格（Web Authentication，WebAuthn）以及 FIDO 的客戶端至驗(yàn)證器協(xié)議（Client-to-Authenticator Protocols，CTAP）所共同組成的。定義對(duì)各種瀏覽器以及平臺(tái)的多重驗(yàn)證支持。

?FIDO U2F以及UAF的認(rèn)證標(biāo)章。L1為產(chǎn)品支持的安全級(jí)別

雙重認(rèn)證實(shí)體密鑰雖然在歐美銷(xiāo)路不錯(cuò)，但相對(duì)也有不少客訴。百佳泰鎖定一款主打指紋辨識(shí)，宣稱支持U2F以及UAF的熱門(mén)密鑰產(chǎn)品來(lái)進(jìn)行觀測(cè)，對(duì)其在Amazon上累計(jì)的客戶不良回饋進(jìn)行搜集整理，分類(lèi)歸納如下：

?

我們觀察到，在使用者占比最高的Windows平臺(tái)上，本產(chǎn)品的兼容性似乎存在許多問(wèn)題，雖然不排除使用者本身環(huán)境導(dǎo)致的軟硬件沖突可能性，但如此高的不良回饋比例，足以證明在兼容性上的確有很大的改善空間。

基于百佳泰一貫實(shí)驗(yàn)求證的精神，我們?cè)贏mazon購(gòu)入了7款銷(xiāo)路最好的U2F實(shí)體密鑰，并對(duì)他們進(jìn)行兼容性測(cè)試，看看是不是真的有很多兼容性的問(wèn)題存在。這次我們遴選的密鑰如以下所列：

 

以上的實(shí)體密鑰均宣稱支持U2F協(xié)議，也是這類(lèi)產(chǎn)品在Amazon US上的暢銷(xiāo)商品。我們依照過(guò)往的兼容性測(cè)試經(jīng)驗(yàn)以及其產(chǎn)品特性，設(shè)計(jì)了以下的簡(jiǎn)易測(cè)試組合規(guī)劃。

筆電

 

瀏覽器

Chrome 101.0.4951.67

能夠進(jìn)行兼容性測(cè)試的軟硬件組合其實(shí)很多，若要進(jìn)行完整的掃描，則可以考慮下列的完整組合進(jìn)行深入測(cè)試。

OS & Platform：

此類(lèi)產(chǎn)品兼容性測(cè)試最重要的變因，Windows各世代、macOS、Chrome OS，以及手機(jī)平板的Android/iOS系統(tǒng)都可以列入規(guī)劃，Linux系統(tǒng)也可以考慮。

瀏覽器：

加入目前最多用戶的四大家族系列：Microsoft Edge, Google Chrome, Apple Safari跟Firefox Mozilla。

Web服務(wù)：

支持U2F的常用服務(wù)是一定要列測(cè)的，Google account，Microsoft account，F(xiàn)acebook，Twitter，Dropbox，GitHub等等。

Connect/Authenticate?連接接口：

現(xiàn)有的密鑰聯(lián)機(jī)界面有這4種， USB-A，USB-C，BT，NFC。

關(guān)于測(cè)試項(xiàng)目，實(shí)體密鑰的目的與功能十分單純，從兼容性檢證的角度設(shè)計(jì)如下：

 

透過(guò)以上的組合以及測(cè)試設(shè)計(jì)，我們對(duì)7款市售的多重認(rèn)證實(shí)體密鑰進(jìn)行簡(jiǎn)單的兼容性測(cè)試，并觀察到以下的不良現(xiàn)象：

總結(jié)百佳泰對(duì)實(shí)體認(rèn)證密鑰的測(cè)試心得如下：

1. 在Windows/Chromebook/MacＢook的基本運(yùn)作大多正常，偶爾在Windows下會(huì)有設(shè)備偵測(cè)不到或Yellow Bang的問(wèn)題，但在實(shí)際的網(wǎng)絡(luò)賬號(hào)上可以運(yùn)作成功。
2. 部分服務(wù)出現(xiàn)注冊(cè)的Key無(wú)法被辨識(shí)，可能跟操作有關(guān)，設(shè)定實(shí)體Key驗(yàn)證時(shí)最好要再有一個(gè)備援措施，預(yù)防遺失或損毀而無(wú)法登入賬號(hào)的窘境。
3. 觀察Mac的雙重驗(yàn)證機(jī)制，只開(kāi)放電話6碼簡(jiǎn)訊，除此之外的驗(yàn)證方式都沒(méi)有?？赡苁莾?nèi)建touch ID已經(jīng)足以雙重保護(hù)使用者的關(guān)系，但對(duì)于單機(jī)的保護(hù)就不如Windows或Chrome可設(shè)定實(shí)體密鑰保護(hù)登入來(lái)的多元。
4. Chromebook/MacBook本次測(cè)試使用都是Type-C only的機(jī)種，而待測(cè)物大多為T(mén)ype-A機(jī)種。因此我們透過(guò)A to C轉(zhuǎn)接頭進(jìn)行測(cè)試，結(jié)果均未出現(xiàn)完全無(wú)法使用的問(wèn)題，與原本預(yù)想透過(guò)轉(zhuǎn)接會(huì)問(wèn)題很多的結(jié)果不同，但搭配轉(zhuǎn)接頭/Hub/Docking是使用者常見(jiàn)情境，十分建議加入測(cè)試組合。

資安類(lèi)的產(chǎn)品在設(shè)計(jì)開(kāi)發(fā)上有非常嚴(yán)格的要求，因?yàn)殛P(guān)系到購(gòu)買(mǎi)者重要的情資財(cái)產(chǎn)問(wèn)題，兼容性更是絕不能忽視的一環(huán)，試想，若因?yàn)榕R時(shí)須使用不熟悉的平臺(tái)或?yàn)g覽器進(jìn)行賬號(hào)的登入，卻因兼容性問(wèn)題造成已注冊(cè)好的密鑰無(wú)法被識(shí)別或運(yùn)作，使用者將大幅降低對(duì)品牌產(chǎn)品的信任與好感。

百佳泰擁有2萬(wàn)件以上的各式市場(chǎng)主流設(shè)備以及相對(duì)應(yīng)的測(cè)試環(huán)境，可提供廣泛的兼容性測(cè)試選擇。除了兼容性外，針對(duì)客戶產(chǎn)品規(guī)格量身打造的功能性與耐久性檢證，也是我們多年來(lái)累積無(wú)數(shù)經(jīng)驗(yàn)的服務(wù)項(xiàng)目，若您有相關(guān)產(chǎn)品驗(yàn)證需求或有任何咨詢要求，竭誠(chéng)歡迎與百佳泰聯(lián)系。