政府的零信任從哪裡開始..
“數位發展部將於2023年輔導資安責任等級A級機關逐步導入零信任,並以身分鑑別為優先推動項目;為了讓各機關….” (摘自數位發展部文章) 。
不知道大家有沒有跟我一樣的困擾,隨著政府推動的零信任架構,身份鑑別為第一階段推動的目標,所以一陣子聽到很多廠商通過了零信任鑑定,看了又是身份鑑別,又說支援了FIDO2.. 好了,等支援了FIDO2 又看到了 WebAuth? 現在又多了Passkey這個名詞.. 所以努力Google一下,發現大家跟我一樣都很想知道這到底有什麼不一樣~ 以下為我簡要的讀書心得:
FIDO2(Fast Identity Online 2)是一個開放標準,旨在提高在線身份驗證的安全性和便利性。
WebAuthn 是 FIDO2 的核心組成部分之一,它定義了一個 API,使網絡應用程序能夠與本地或外部的身份驗證器(如指紋傳感器、USB 安全密鑰等)進行通信,以實現無密碼的安全身份驗證。
Passkey 是一種特定於廠商(如 Google、Apple 等)的術語,指的是使用 WebAuthn 規範實現的多設備 FIDO 憑證。
所以可以理解的是它們都是用來增強的安全性、便利性、防範釣魚攻擊、減輕密碼疲勞、多因素身份驗證等。 所以下面分別以幾個面向作了簡易的比較供大家參考:
相同處:
- 目標:Passkey、WebAuthn 和 FIDO2 都旨在提高在線身份驗證的安全性和便利性。
- 無密碼驗證:三者都支持無密碼或基於公鑰的身份驗證方法,從而消除了對傳統密碼的需求。
- 標準化:WebAuthn 和 FIDO2 是標準化的協議和規範,提供了一致的身份驗證機制。
不同處:
[FIDO2]
- 定義:FIDO2 是一個開放標準,旨在提供更安全和便利的在線身份驗證方式,包括 CTAP 和 WebAuthn 兩個主要組件。
- 功能:FIDO2 提供了通過 WebAuthn 實現無密碼身份驗證的標準方法,同時 CTAP 允許設備與 WebAuthn 通信。
- 特點:FIDO2 的設計旨在實現更安全、更便捷和更廣泛可用的身份驗證機制,可以應用於各種網絡應用和設備。
[WebAuthn]
- 定義:WebAuthn 是 FIDO2 的核心組成部分之一,是一個由 W3C 和 FIDO 聯盟制定的 API,用於網絡應用程序訪問公鑰憑證,實現無密碼的安全身份驗證。
- 功能:WebAuthn 允許網絡應用程序與身份驗證器(如指紋傳感器、USB 安全密鑰等)通信,進行無密碼的身份驗證。
- 特點:WebAuthn 提供了抵禦釣魚、中間人攻擊等攻擊的功能,同時保護用戶的隱私。
[Passkey]
- 定義:Passkey 是一種特定於廠商(如 Google、Apple 等)的術語,指的是使用 WebAuthn 規範實現的多設備 FIDO 憑證。
- 功能:Passkey 提供了一種無需密碼的登錄方式,利用非對稱公鑰加密技術實現安全身份驗證。
- 特點:Passkey 可以同步公私鑰加密到多個設備上,實現無縫的身份驗證體驗。
