FIDO(Fast Identity Online)聯盟[21]的成立,主要便是定義在行動服務或各種網站系統 具易用性、隱私與安全性及標準化之身分驗證標準,目標就是要為使用者提供「無密碼」
的身分驗證,透過 FIDO 驗證器與 FIDO Server 進行驗證後,再與應用系統溝通,取代 目前常見在各個應用系統輸入用戶密碼的方式,以解決像是因弱密碼、預設密碼、或是 密碼遭竊等因素,造成資料外洩問題或網路釣魚攻擊事件。
2.6.1 FIDO 1.0
FIDO 聯盟於 2012 年成立,聯盟成員包含全球領先組織如:Google、微軟、阿里巴巴、
高通、三星電子、美國銀行、Synaptics、…等上百家企業,其發表的 FIDO 1.0 標準包含 了通用 認證 框架 (Universal Authentication Framework ,UAF)與 通 用第二 因子 認證 (Universal 2nd Factor,U2F )兩種認證協定,以下根據 FIDO Alliance 於 2017 年發佈的 FIDO UAF 概述第二版[22]整理如下:
1. 通用認證框架 (Universal Authentication Framework,UAF):用戶透過使用者裝置之 各種生物辨別驗證機制或輸入 PIN 碼的方式,將設備註冊至線上 UAF 伺服器,之 後即可以註冊的辨識方式進行身分驗證。
2. 通用第二因子認證 (Universal 2nd Factor,U2F ):用戶頇註冊,增加第二因子驗證,
第二因子可使用 USB、NFC 或藍芽等設備,連結至使用者裝置進行驗證,每次驗 證皆頇輸入密碼,再連結第二因子設備完成驗證。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
2.6.2 FIDO 運作
圖 2.9 FIDO 通用認證架構(UAF)
圖片來源:FIDO Alliance,FIDO UAF Architectural Overview(Draft 02)[22]
FIDO 通用認證架構(UAF)包含兩個部份,如圖 2.9 所示,一部份是 FIDO UAF 客戶端設備(FIDO User Device),當中需安裝 FIDO 客戶端(FIDO Client),其中之身 分驗證器(FIDO Authenticator)作為客戶端與 UAF 伺服端驗證公開公鑰使用。另一部 份即是 FIDO UAF 伺服端(FIDO Server),需安裝在使用者要存取的線上服務(Relying Party)中。此架構雙方之資訊傳遞係採用 TLS 加密。
‧ 國
立 政 治 大 學
‧
N a tio na
l C
圖 2.10 FIDO UAF 註冊流程h engchi U ni ve rs it y
圖片來源:FIDO Alliance,FIDO UAF Architectural Overview(Draft 02)[22]
使用者進行線上服務身分驗證註冊如圖 2.10 所示,其流程步驟如下:
1. 使用者先進入系統觸發身分驗證註冊需求。
2. FIDO 伺服器收到註冊需求即透過 FIDO 伺服器呼叫 FIDO 客戶端。
3. 使用者利用 FIDO 身分驗證器進行身分認證,通過認證後即產生一對公鑰與私鑰,
其將私鑰儲存在使用者裝置之安全元件中,將公鑰回傳至 FIDO 伺服器。
4. FIDO 伺服器收到公鑰後進行驗證,驗證完成後將公鑰儲存在 FIDO 伺服器中。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
圖 2.11 FIDO UAF 驗證流程
圖片來源:FIDO Alliance,FIDO UAF Architectural Overview(Draft 02)[22]
用戶使用 FIDO UAF 進行線上服務身分驗證如圖 2.11 所示,其流程步驟如下:
1. 使用者先進入系統觸發身分驗證需求。
2. FIDO 伺服器收到註冊需求即透過 FIDO 伺服器呼叫 FIDO 客戶端,同時隨機產生 一亂數傳遞給 FIDO 客戶端。
3. 使用者利用 FIDO 身分驗證器進行身分認證,通過認證後即使用註冊時儲存在安全 元件中的私鑰對亂數進行簽章後,將其回傳至 FIDO 伺服器。
4. FIDO 伺服器收到後使用其公鑰進行驗證。
若使用 U2F 協定與 UAF 的相異之處在於,U2F 必頇有一外接設備作為第二驗證因 子,並且在註冊及驗證時 ,完成第一階段密碼驗證後 ,由其外接設備取代 FIDO Authenticator,雙方除了傳遞公開金鑰對進行驗證外,還會傳遞一計數器,於每次驗證 時進行更新與驗證,如有心人士複製使用者的 U2F 設備,將會因為計數值不同而驗證失 敗。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
2.6.3 FIDO2
FIDO2 於 2018 年發佈[23],是由 W3C 的 Web 身份驗證規範(WebAuthn)[24]和 FIDO 相應的客戶端到身份驗證器協議(Client to Authenticator Protocol,CTAP)[25]組 成,其 WebAuthn 定義了標準化的 Web API,故讓網路服務能使用 FIDO 驗證,而 W3C 與 FIDO 聯盟也正式於 2019 年 3 月 4 日正式聯合發佈 WebAuthentication(WebAuthn)
規格成為正式的 Web 標準[26],目前各大瀏覽器 Google Chrome、微軟 Edge、Mozilla Firefox 與 Safari,以及行動裝置作業系統 Android 7.0 和 桌面作業系統 Windows 10 , 皆已表明將支援 FIDO2 規格。而 CTAP 則是允許手機或 FIDO 實體安全鑰匙等外部裝置 可搭配 WebAuthn 使用,如圖 2.12,以作為桌面應用程式或網路服務的身分驗證器。此 外,FIDO2 也為 U2F 的無密碼(Passwordless)延伸版本,其可省略第一階段的密碼驗 證,只用 U2F 外接設備驗證。
圖 2.12 Web Authn + CTAP 流程
圖片來源:FIDO Alliance,FIDO2 Project. [23]