編譯／鄭智懷 長期以來，各界仰賴密碼及各式衍生方案與工具保護手上的實體與數位資產；然而，資安技術的發展使攻擊者 …

編譯／鄭智懷

長期以來，各界仰賴密碼及各式衍生方案與工具保護手上的實體與數位資產；然而，資安技術的發展使攻擊者只要購買或竊取憑據就可以突破重重防守，執行惡意活動。資安公司技術長Jasson Casey表示，結合生物識別、多重要素驗證（MFA）等技術，提供用戶無須任何密碼即可登入設備與帳戶之線上快速身分驗證（FIDO2）服務的時代已經來臨。

Jasson Casey認為，傳統的資安機制要求用戶在不同的設備、帳戶使用不重複的強密碼。然而，上述的作法已經無法因應現代的資安威脅。一方面，大量且冗長的密碼容易使用戶產生疲勞，從而犯下如多組重複密碼輪流使用的錯誤；另一方面，攻擊者可以透過社交工程（Social Engineering）等攻擊方式，說服受害者親手交出手上看似萬無一失的強密碼，而不需任何複雜且可能需要長時間才能奏效的技術，就可獲得欲取得的各式資料。

即使是採用基於密碼概念打造的密碼管理器，用戶也同樣會因上述的攻擊手法將密碼提供給不法分子，使該工具毫無用武之地。此外，由於密碼管理器服務商將各用戶的密碼集中管理，只要攻擊方突破防線，就可以獲得大量可供犯罪活動使用的資料。

而目前流行的多重要素驗證雖然擁有比傳統密碼技術更高的安全性，但實際上也可能因網路釣魚等社交工程攻擊，或是攻擊方直接繞過，入侵用戶設備。

基於上述理由，Jasson Casey主張線上快速身分驗證將成為當前驗證技術的主流。所謂線上快速身分驗證，是由國際身分識別標準組織FIDO Alliance與負責制定網路標準的全球資訊網路聯盟（W3C）共同推動，旨在實現基於無密碼與零信任為基礎的身分驗證技術。用戶只要用手上內建安全模組的裝置，例如手機存放專屬個人的金鑰與生物特徵，就可以在伺服器上執行認證程序。

Jasson Casey強調，線上快速身分驗證同時採用生物識別與多重要素驗證技術，大幅降低社交工程攻擊成功的可能性；該技術的機制還可以減輕中間人，例如前述的密碼管理器服務商受到攻擊，密碼大量洩漏，以及端點攻擊的影響，形成安全團隊與用戶之間的雙贏局面。

資料來源：Help Net Security

這篇文章 為何無密碼時代已經來臨？<a></a> 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。