【厂商服务及产品FIDO应用态势】Google、微软都在强化网络服务登入安全，更多厂商服务及产品应用FIDO

网络服务兴起后的线上登入认证机制发展，一直在演进，包括以杂凑保护密码、OTP动态密码与公开金钥基础架构，这几年更是不断强调两步骤验证，以及强式双因素认证，现在，无密码登入与Passwordless的潮流，以及FIDO联盟推动的线上身份识别，更是持续关注焦点，而在云端服务龙头的带动，以及产品业者的跟进之下，FIDO应用在2020年正大幅扩展。

至于未来FIDO的发展潮流，我们认为，包括IoT的领域，以及EMVCo方面的合作发展，都是值得关注的面向。

事实上，我们在2019年1月的FIDO应用封面故事报导中，我们曾请业者实际示范，例如，可使用欧生全（Authentrend）的实体安全金钥，安全登入微软账号，或是使用美商动信Gotrust ID的软件解决方案，以模拟FIDO USB安全金钥的方式，透过手机确认以安全登入到Google账号。

虽然，现阶段还不是完全替代掉密码的使用，但其实已经透过生物辨识，或是实体安全金钥，来替代、减少或强化平时登入服务的输入密码动作，如此一来，是可减少用户因为怕记不住而设定简单密码，或是钓鱼网站威胁，也让登入更简单。

从云端龙头的发展动向来看，Google很早推动，包括从2014年开始，就在Chrome浏览器与Google服务，支援FIDO U2F身份认证，并在2017年传出让他们的全球员工，使用USB安全金钥进行二步骤验证，安全登入工作账户，避免网络钓鱼（Phishing）的威胁。

微软在这两年也很积极，自2018年开始大力推动无密码登入，不只是让自家浏览器Edge与微软账号支援WebAuthn协定与FIDO2，去年7月，又宣布Azure AD服务支援FIDO2的无密码登入，今年2月再让混和式Azure AD也支援。同时，他们也不断强调无密码的世代将来临，例如，他们现行提供的无密码登入Azure方式就有三种，包括Windows Hello、Microsoft Authenticator app，以及FIDO2实体安全金钥。

而在2020年2月，苹果终于也加入到FIDO联盟董事会，随着这些主流科技巨头与平台的支持与推动，无密码登入应用的发展可望加速。

 微软正积极推动3种无密码的登入方式 

在微软账户的用户身份安全性设定中，已经提供了多种证明使用者身份的方式，除了早期透过电子邮件或简讯传送OTP，还有三种属于无密码登入的选项，包括以Authenticator App，使用Windows Hello，或是FIDO2实体安全金钥的方式。

实体安全金钥选择更多，近期国内线上购物已有贩售

不过，使用者通常可能还会问到一个问题，就是U2F与FIDO2的实体安全金钥（Security Key）哪里买？

Yubico

在全球市场上最知名的，莫过于Yubico推出的多款YubiKey，消费者可以透过Amazon等国际电子商务网站买到产品。

欧生全

不过，其实台湾也买得到这类型产品，像是专注身份验证硬件制造的本土业者欧生全，他们就有直接贩售ATKey.Pro，以及卡片式的ATKey.Card，而且都兼具指纹辨识的功能。另外，他们在今年3月也拓展到全球消费市场，将产品上架到Amazon。

美商动信

美商动信也是一例，之前他们提供了Gotrust ID的软件解决方案，也有FIDO USB实体安全金钥Idem Key，以及卡片式的Idem Card，今年8月他们新推可用来做凭证载具的Idem Key Plus，同时支援FIDO2和PKI功能。特别的是，他们的Idem Key在今年10月7日已经将产品上架到国内电商网站。

关楗

还有一家2017年成立的台湾新创业者关楗（KeyXentic），在最近两个月通过FIDO官方产品验证，他们设计的KX906 Smart Token FIDO，结合PKI与FIDO U2F/FIDO2应用，并有指纹辨识机制，特别是还有智能卡读卡机设计。显然，国内已有越来越多业者投入实体安全金钥的发展。

特别的是，最近，在今年11月中旬，我们看到更多关于FIDO产品及服务的发展，例如，实体安全金钥加入指纹模组的趋势正成形，在上述提到的国内产品之外，Yubico预告，未来要推出他们首款搭载指纹感测器的产品。

另一方面，为了推动“无密码”的体验，在11月14日，欧生全与微软宣布推出一个无密码试验计划，是针对已使用Azure AD的企业，以及全球服务提供商，可以让客户小量试用ATKey.Pro登入Azure AD，这也显示FIDO设备业者与微软正推动“无密码”的体验，希望逐渐带动整个市场。

此外，已在北美等地销售自家Titan Key实体安全金钥的Google，在今年1月，他们还开源了可制作实体安全金钥的固件专案OpenSK，这样的作法，也是希望加速实体安全金钥在市场上的应用发展。

 市面上已有多家实体安全金钥可选 

在市面上，过去如果想要买到FIDO实体安全金钥，最知名的品牌就是Yubico的Yubikey，且产品种类丰富，包含多种连接方式，如不同USB界面、NFC、蓝牙或Apple lightning等，在全球电子商务网站Amazon上就有，现在则有更多品牌产品选择，包括台厂欧生全的ATKey.Card等产品（如图），其他还有美商动信与中国Feitian的产品。

 实体安全金钥台湾电商也买得到！ 

在台湾如果要就近购买实体安全金钥，目前仍无厂商代理Yubico，若要评估其他厂牌，仍可直接联系厂商。最近，国内线上购物网站PCHome已可买到美商动信的实体安全金钥Idem KeY，对于国内民众而言，透过本土线上通路购买确实是会更方便。

 出现整合PKI与FIDO等应用的实体装置 

FIDO实体安全金钥也开始兼具其他应用功能，今年有厂商推出这样的产品，例如，关楗设计的KX906 Smart Token FIDO是一例，整合FIDO U2F/FIDO2与PKI应用，同时提供智能卡读卡机，另外装置上也配置指纹模组。连接界面上则有USB与Apple lightning。

 谷歌不仅推Titan Key，今年还释出OpenSK 

去年10月谷歌开始在北美Google Store销售自家品牌的Titan Key实体安全金钥，后续又增加9个国家地区（台湾尚未），但更引人注意的是，今年1月底他们在GitHub上释出OpenSK专案，可将制作实体安全金钥OpenSK固件安装到Nodic芯片的dongle开发板上（如上图）。

国人生活常用的Line即时通讯，开始提供基于FIDO的登入

接下来，让我们看看其他厂商服务及产品的FIDO应用，其实不只是Google、微软等服务，还有日本Yahoo等，近期，国人普遍使用的通讯软件Line，也宣布正式开始启用FIDO身份识别功能。

事实上，在2018年Line就已经宣布将建置FIDO，而且UAF、U2F与FIDO2都有计划，后续我们注意到Line Pay在日本启用FIDO2，近期，他们也让Line即时通讯服务也采行FIDO，目前他们规划是分阶段陆续开放。

例如，他们开放的是在iPad登入Line账号，可透过FIDO标准用手机上生物辨识认证，在既有方式上，是以输入账号密码与扫描QRcode的方式登入，现在新增使用智能手机登入。

简单来说，现在Line用户可在iOS或Android手机上先从设定启用生物辨识功能，之后首次在iPad登入Line账号时，输入手机电话号码并选择“使用智能手机登入”，之后就会显示6位数认证码，在从手机上设定连动其他装置并输入认证码，即完成首次连动与登入。

之后，用户在iPad上的Line账号登入过程就很简单，在iPad输入手机电话号码，之后就能在手机上透过生物辨识验证身份直接登入。

虽然在Line的App界面上，没有提到FIDO，但其实这里所指的生物辨识、智能手机登入，背后其实也就是基于FIDO的应用。

对于导入FIDO的好处，他们也有说明，主要就是让登入简便，也减少用户忘记密码，或是怕记不住而设定了容易破解的密码。同时，他们也提醒，新的生物辨识只是替代输入密码的动作，因此，用户还是必需要预先设定好电话号码、电子邮件与密码。

后续，Line也会将FIDO导入到多个身份识别情境，包括Line电脑版登入可使用FIDO标准，最快今年底就会实现，此外，预计明年还有像是使用者更换手机要移动Line账号，以及登入Line家族服务的场景能适用。

 Line生物辨识登入也是采用FIDO，已应用在iPad登入 

Line即时通讯服务也提供FIDO登入支援选项，强化账号安全，现在他们开放的应用情境，是用户在iPad登入Line账号时，可透过FIDO认证标准用手机认证身份以登入。使用者只要在手机上先启用Line的生物辨识登入，之后在平板上要登入Line，就可以输入电话号码并以自身手机的生物辨识来登入。

企业身份识别集中管理产品也结合FIDO，国内已有厂商做好准备

除了上述这些云端服务，我们从企业产品面向来看，近年也有新增FIDO支援的案例。

例如，提供企业身份识别集中管理解决方案的全景软件，他们推出的ID Expert，在2019年9月就开始可以支援FIDO 2的登入。

基本上，ID Expert这套系统，本身就是聚焦在企业的身份认证管理，而从他们在去年就提供支援的态势上来看，显然，他们是看好FIDO这个身份认证机制的发展。

关于全景软件产品与FIDO的结合，他们提供了详细的说明，基本上，ID Expert主机本身即是FIDO Server，可提供使用者注册Fido装置，同时，他们也强调能够透过SAML协定，将企业内部及云端服务的认证导向ID Expert的SSO Portal，进行FIDO认证。

例如，在内网应用方面，将可经由SAML协定（SP Initiated），将认证导向ID Expert SSO，通过FIDO认证后，即可再回到该系统应用，完成登入；而在整合云端服务方面，如Office 365、Amazon等，则可透过SAML（IDP Initiated）串接，让使用者统一使用FIDO认证，登入ID Expert SSO，之后用户再点选该云端服务项目，即可自动登入系统。

此外，他们也表示，将能够提供FIDO SDK，便于金融等大型企业进行应用系统整合。

而他们导入的原因，全景软件表示，ID Expert身份认证系统是以“集结各验证方法的认证中心”作为产品的发展初衷，因此，期望能借由整合并支援FIDO认证，强化认证的广度及深度。

对于现阶段FIDO的应用，他们的看法是，市场面仍处于推广期，但他们已经先做好准备，而他们也希望共同加强推广FIDO。同时，他们看好金融业的应用，认为是目前接受度最高的企业。

提升网络设备服务的安全，NAS大厂群晖年底也将支援FIDO

不只是云端服务厂商，或是资安产品业者，我们还知道网络设备商也要这么做，台湾NAS大厂群晖，也会将FIDO标准导入到他们的产品，进一步增加设备安全性，让群晖NAS用户登入自己的DSM账号可以更有保障。

群晖透露，他们在今年12月释出的DSM 7.0 Beta版，就会开始支援 FIDO2身份认证。

具体而言，群晖在新的DSM 7.0 Beta版中，将开始支援两种登入方式，包括实体安全金钥，以及“Synology Approve sign-in”App。因此，未来他们将支援FIDO2标准的实体安全金钥的直接验证，不只是够安全，他们还提到一点，就是这种以硬件为主轴的登入方式，将更具备隐私性，无法备用于跨站点追踪使用者的使用行为。此外，他们同时也会推出一个自家专属的App，让使用者能以手机当作验证器，透过OTP来验证身份，并提供异常登入的警告。

关于他们提供FIDO支援的原因？毕竟，现在还很少看到像是他们这样的网络设备厂商这么做。对此，群晖表示，主要有两个面向的考量，除了传统密码难以记忆的问题，传统密码也很容易造成资安问题。

首先，是他们已经体认到“传统密码”是用户的痛点，因为使用者常常遇到忘记密码的问题，例如，在他们客服系统最多被问到的问题，前三名中就有“忘记密码怎么办”。其次，他们提到现阶段服务提供商在身份安全的因应规则上，都是建议使用者设定强密码，或者透过二阶段验证、简讯 OTP 的方式来强化账户安全性，然而，这些方法并无法完全防堵骇客的暴力破解，以及钓鱼网站的风险。

对此，他们认为，无密码已是现在的国际趋势，透过实体金钥来维护装置的安全性，并同时兼顾使用体验，将成为厂商设计产品的一大趋势。

而且，以他们自家产品性质而言，NAS设备多被应用在企业内部，因此，他们的看法是，就现行的FIDO采用趋势而言，应该会连带改变IT管理者在装置管理上的经验，而这样的作法，也该延伸到对安全性要求更高的使用者，像是企业MIS人员。

 相关报导 

无密码身份保护应用大爆发

FIDO2标准助攻，无密码世代来临：2019网络身份识别大跃进

其他相关报导：微软呼吁用户别再用简讯多因素验证