隨著網路時代來臨,各種日常生活的服務開始透過網路雲端化,我們要管理記憶越來越多的帳號及密碼,除了日益龐大的帳號管理負擔外,隨著網路發達,資料外洩也變成了普遍現象,你我的帳密個資都可能會因為網站的漏洞或各種數位病毒而導致外流。
以Google去年調查的數據為例,在台灣,曾遭遇個人資料外洩的比例高達70%,在受訪的亞洲國家中僅低於越南的78%。當中原因有50%的人密碼設計太過簡易、86%的人會將單一密碼重複用於多個網站。因此兩步驟驗證(2FA)已成為當前網路世界的重要工具。
兩步驟驗證,顧名思義就是帳號需要經過兩次的登入驗證,避免單次登入因密碼外洩而被有心人士竊占,最常見的有SMS簡訊以及Email連結的第二驗證。在本篇文章中,百佳泰要介紹一種在台灣尚未普及,但在歐美日市場已經很熱銷的資安商品──兩步驟驗證實體金鑰。
Yubico的各式實體金鑰
大部分使用者會使用電話簡訊或Email認證連結,進行第二重的登入驗證,但也有很多消費者未必隨時有網路或手機信號,因而更中意這種個人專屬、只認硬體的小工具。受疫情影響,很多歐美企業的員工都長期WFH,在沒有資安佈署的居家環境下登入工作相關服務,造成情報外洩的可能性大增,因此許多大企業也偏愛這種產品,訂製給員工們使用以確保資訊安全。
實體金鑰的使用十分簡單,插入個人電腦後即會自動安裝驅動,再來是進入各種服務裡的兩步驟驗證頁面進行啟用設定,將金鑰註冊後命名即可,前後不超過三分鐘的時間。
Facebook的雙重驗證金鑰設定頁面
日後當登入此服務時,第一階段的登入密碼輸入完成後,就會跳出請插入實體金鑰的頁面,插入後輕觸金鑰的感應鈕即可通過認證。
當輸入第一道密碼後,瀏覽器會跳出頁面讓你插入已註冊的實體金鑰
當插入了未註冊過的金鑰時,便無法通過驗證
由於實體金鑰為獨一性的,當金鑰壞掉或遺失時,可能再也無法登入服務,所以建議使用者準備複數金鑰註冊,或是設定備援方式(密碼或簡訊)避免窘境發生。
提到實體金鑰,就必須介紹其所依據的資安規範,也就是FIDO (Fast Identity Online)。FIDO 是指由同名的非營利組織 FIDO 聯盟所訂定的一套網路識別標準,目的是確保登入流程中伺服器及終端裝置協定的安全性。而這套識別標準透過公開金鑰加密的架構,進行多重因素驗證(MFA)以及生物辨識登入來保護雲端帳號的資料。關於FIDO聯盟的詳細歷史,可至相關網站獲得進一步的資訊,本文中百佳泰先從中列舉FIDO最重要的三大認證協議給大家做初步了解。
FIDO UAF (Universal Authentication Framework)
主要使用生物辨識來進行無密碼登入的多重驗證協定。常見的有指紋辨識,聲音辨識等。
FIDO U2F (Universal Second Factor)
雙因素驗證。本文介紹的實體金鑰主要就是支援此種協定,透過加密的實體金鑰來實現無密碼登入。
FIDO2
最新的FIDO協議,是由全球資訊網協會(W3C)的網路驗證規格(Web Authentication,WebAuthn)以及 FIDO 的客戶端至驗證器協定(Client-to-Authenticator Protocols,CTAP)所共同組成的。定義對各種瀏覽器以及平台的多重驗證支援。
FIDO U2F以及UAF的認證標章。L1為產品支援的安全級別
雙重認證實體金鑰雖然在歐美銷路不錯,但相對也有不少客訴。百佳泰鎖定一款主打指紋辨識,宣稱支援U2F以及UAF的熱門金鑰產品來進行觀測,對其在Amazon上累計的客戶不良回饋進行蒐集整理,分類歸納如下:
我們觀察到,在使用者占比最高的Windows平台上,本產品的相容性似乎存在許多問題,雖然不排除使用者本身環境導致的軟硬體衝突可能性,但如此高的不良回饋比例,足以證明在相容性上的確有很大的改善空間。
基於百佳泰一貫實驗求證的精神,我們在Amazon購入了7款銷路最好的U2F實體金鑰,並對他們進行相容性測試,看看是不是真的有很多相容性的問題存在。這次我們遴選的金鑰如以下所列:
以上的實體金鑰均宣稱支援U2F協定,也是這類產品在Amazon US上的暢銷商品。我們依照過往的相容性測試經驗以及其產品特性,設計了以下的簡易測試組合規劃。
筆電
瀏覽器
Chrome 101.0.4951.67
能夠進行相容性測試的軟硬體組合其實很多,若要進行完整的掃描,則可以考慮下列的完整組合進行深入測試。
OS & Platform:
此類產品相容性測試最重要的變因,Windows各世代、macOS、Chrome OS,以及手機平板的Android/iOS系統都可以列入規劃,Linux系統也可以考慮。
瀏覽器:
加入目前最多使用者的四大家族系列:Microsoft Edge, Google Chrome, Apple Safari跟Firefox Mozilla。
Web服務:
支援U2F的常用服務是一定要列測的,Google account,Microsoft account,Facebook,Twitter,Dropbox,GitHub等等。
Connect/Authenticate 連接介面:
現有的金鑰連線界面有這4種, USB-A,USB-C,BT,NFC。
關於測試項目,實體金鑰的目的與功能十分單純,從相容性檢證的角度設計如下:
透過以上的組合以及測試設計,我們對7款市售的多重認證實體金鑰進行簡單的相容性測試,並觀察到以下的不良現象:
總結百佳泰對實體認證金鑰的測試心得如下:
1. 在Windows/Chromebook/MacBook的基本運作大多正常,偶爾在Windows下會有設備偵測不到或Yellow Bang的問題,但在實際的網路帳號上可以運作成功。
2. 部分服務出現註冊的Key無法被辨識,可能跟操作有關,設定實體Key驗證時最好要再有一個備援措施,預防遺失或損毀而無法登入帳號的窘境。
3. 觀察Mac的雙重驗證機制,只開放電話6碼簡訊,除此之外的驗證方式都沒有。可能是內建touch ID已經足以雙重保護使用者的關係,但對於單機的保護就不如Windows或Chrome可設定實體金鑰保護登入來的多元。
4. Chromebook/MacBook本次測試使用都是Type-C only的機種,而待測物大多為Type-A機種。因此我們透過A to C轉接頭進行測試,結果均未出現完全無法使用的問題,與原本預想透過轉接會問題很多的結果不同,但搭配轉接頭/Hub/Docking是使用者常見情境,十分建議加入測試組合。
資安類的產品在設計開發上有非常嚴格的要求,因為關係到購買者重要的情資財產問題,相容性更是絕不能忽視的一環,試想,若因為臨時須使用不熟悉的平台或瀏覽器進行帳號的登入,卻因相容性問題造成已註冊好的金鑰無法被識別或運作,使用者將大幅降低對品牌產品的信任與好感。
百佳泰擁有2萬件以上的各式市場主流設備以及相對應的測試環境,可提供廣泛的相容性測試選擇。除了相容性外,針對客戶產品規格量身打造的功能性與耐久性檢證,也是我們多年來累積無數經驗的服務項目,若您有相關產品驗證需求或有任何諮詢要求,竭誠歡迎與百佳泰聯繫。
