随着网络时代来临,各种日常生活的服务开始透过网络云端化,我们要管理记忆越来越多的账号及密码,除了日益庞大的账号管理负担外,随着网络发达,数据外泄也变成了普遍现象,你我的帐密个资都可能会因为网站的漏洞或各种数字病毒而导致外流。
以Google去年调查的数据为例,在台湾,曾遭遇个人资料外泄的比例高达70%,在受访的亚洲国家中仅低于越南的78%。当中原因有50%的人密码设计太过简易、86%的人会将单一密码重复用于多个网站。因此两步骤验证(2FA)已成为当前网络世界的重要工具。
两步骤验证,顾名思义就是账号需要经过两次的登入验证,避免单次登入因密码外泄而被有心人士窃占,最常见的有SMS简讯以及Email连结的第二验证。在本篇文章中,百佳泰要介绍一种在台湾尚未普及,但在欧美日市场已经很热销的资安商品──两步骤验证实体密钥。
Yubico的各式实体密钥
大部分用户会使用电话简讯或Email认证连结,进行第二重的登入验证,但也有很多消费者未必随时有网络或手机信号,因而更中意这种个人专属、只认硬件的小工具。受疫情影响,很多欧美企业的员工都长期WFH,在没有资安布署的居家环境下登入工作相关服务,造成情报外泄的可能性大增,因此许多大企业也偏爱这种产品,订制给员工们使用以确保信息安全。
实体密钥的使用十分简单,插入个人计算机后即会自动安装驱动,再来是进入各种服务里的两步骤验证页面进行启用设定,将密钥注册后命名即可,前后不超过三分钟的时间。
Facebook的双重验证密钥设定页面
日后当登入此服务时,第一阶段的登入密码输入完成后,就会跳出请插入实体密钥的页面,插入后轻触密钥的感应钮即可通过认证。
当输入第一道密码后,浏览器会跳出页面让你插入已注册的实体密钥
当插入了没有注册过的密钥时,就无法通过验证
由于实体密钥为独一性的,当密钥坏掉或遗失时,可能再也无法登入服务,所以建议使用者准备复数密钥注册,或是设定备援方式(密码或简讯)避免窘境发生。
提到实体密钥,就必须介绍其所依据的资安规范,也就是FIDO (Fast Identity Online)。FIDO 是指由同名的非营利组织 FIDO 联盟所订定的一套网络识别标准,目的是确保登入流程中服务器及终端装置协议的安全性。而这套识别标准透过公钥加密的架构,进行多重因素验证(MFA)以及生物辨识登入来保护云端账号的数据。关于FIDO联盟的详细历史,可至相关网站获得进一步的信息,本文中百佳泰先从中列举FIDO最重要的三大认证协议给大家做初步了解。
FIDO UAF (Universal Authentication Framework)
主要使用生物辨识来进行无密码登入的多重验证协议。常见的有指纹辨识,声音辨识等。
FIDO U2F (Universal Second Factor)
双因素验证。本文介绍的实体密钥主要就是支持此种协议,透过加密的实体密钥来实现无密码登入。
FIDO2
最新的FIDO协议,是由万维网联合会(W3C)的网络验证规格(Web Authentication,WebAuthn)以及 FIDO 的客户端至验证器协议(Client-to-Authenticator Protocols,CTAP)所共同组成的。定义对各种浏览器以及平台的多重验证支持。
FIDO U2F以及UAF的认证标章。L1为产品支持的安全级别
双重认证实体密钥虽然在欧美销路不错,但相对也有不少客诉。百佳泰锁定一款主打指纹辨识,宣称支持U2F以及UAF的热门密钥产品来进行观测,对其在Amazon上累计的客户不良回馈进行搜集整理,分类归纳如下:
我们观察到,在使用者占比最高的Windows平台上,本产品的兼容性似乎存在许多问题,虽然不排除使用者本身环境导致的软硬件冲突可能性,但如此高的不良回馈比例,足以证明在兼容性上的确有很大的改善空间。
基于百佳泰一贯实验求证的精神,我们在Amazon购入了7款销路最好的U2F实体密钥,并对他们进行兼容性测试,看看是不是真的有很多兼容性的问题存在。这次我们遴选的密钥如以下所列:
以上的实体密钥均宣称支持U2F协议,也是这类产品在Amazon US上的畅销商品。我们依照过往的兼容性测试经验以及其产品特性,设计了以下的简易测试组合规划。
笔电
浏览器
Chrome 101.0.4951.67
能够进行兼容性测试的软硬件组合其实很多,若要进行完整的扫描,则可以考虑下列的完整组合进行深入测试。
OS & Platform:
此类产品兼容性测试最重要的变因,Windows各世代、macOS、Chrome OS,以及手机平板的Android/iOS系统都可以列入规划,Linux系统也可以考虑。
浏览器:
加入目前最多用户的四大家族系列:Microsoft Edge, Google Chrome, Apple Safari跟Firefox Mozilla。
Web服务:
支持U2F的常用服务是一定要列测的,Google account,Microsoft account,Facebook,Twitter,Dropbox,GitHub等等。
Connect/Authenticate 连接接口:
现有的密钥联机界面有这4种, USB-A,USB-C,BT,NFC。
关于测试项目,实体密钥的目的与功能十分单纯,从兼容性检证的角度设计如下:
透过以上的组合以及测试设计,我们对7款市售的多重认证实体密钥进行简单的兼容性测试,并观察到以下的不良现象:
总结百佳泰对实体认证密钥的测试心得如下:
- 在Windows/Chromebook/MacBook的基本运作大多正常,偶尔在Windows下会有设备侦测不到或Yellow Bang的问题,但在实际的网络账号上可以运作成功。
- 部分服务出现注册的Key无法被辨识,可能跟操作有关,设定实体Key验证时最好要再有一个备援措施,预防遗失或损毁而无法登入账号的窘境。
- 观察Mac的双重验证机制,只开放电话6码简讯,除此之外的验证方式都没有。可能是内建touch ID已经足以双重保护使用者的关系,但对于单机的保护就不如Windows或Chrome可设定实体密钥保护登入来的多元。
- Chromebook/MacBook本次测试使用都是Type-C only的机种,而待测物大多为Type-A机种。因此我们透过A to C转接头进行测试,结果均未出现完全无法使用的问题,与原本预想透过转接会问题很多的结果不同,但搭配转接头/Hub/Docking是使用者常见情境,十分建议加入测试组合。
资安类的产品在设计开发上有非常严格的要求,因为关系到购买者重要的情资财产问题,兼容性更是绝不能忽视的一环,试想,若因为临时须使用不熟悉的平台或浏览器进行账号的登入,却因兼容性问题造成已注册好的密钥无法被识别或运作,使用者将大幅降低对品牌产品的信任与好感。
百佳泰拥有2万件以上的各式市场主流设备以及相对应的测试环境,可提供广泛的兼容性测试选择。除了兼容性外,针对客户产品规格量身打造的功能性与耐久性检证,也是我们多年来累积无数经验的服务项目,若您有相关产品验证需求或有任何咨询要求,竭诚欢迎与百佳泰联系。