文章來源 / Okta Official Blog
Apple 最近宣布支持多裝置的「免密碼登入(Passkeys)」的功能,允許用戶無需註冊密碼、即可登入他們所有的 iOS 和 macOS 裝置。透過使用金鑰,就可以在不同網站和應用程式「來回穿梭」時獲得更好的用戶體驗,同時抵抗網路釣魚、進而增強安全性。從終端用戶的角度而言,這樣的方法解決了兩個關鍵痛點,– 註冊帳號以及登入流程。
但是,它們也可能給依賴裝置綁定憑證的組織帶來安全風險。這篇文章將介紹「身份驗證機制」發展至今的歷程,以及金鑰背後的工作原理;同時進一步拆解,組織在引入金鑰時可能面臨的安全問題類型。Okta 又能如何解決這些問題?
認證機制的演進歷程
一直以來,組織常會依靠密碼來進行身份驗證。為了對抗與憑證相關的攻擊,大多組織開始採用多因子身份驗證,最為經典的,像是一次性的簡訊認證碼 (OTP) ,可以讓用戶在輸入密碼後被要求同步提供認證碼,使用身份驗證器應用程式所輸入的代碼也是一樣的原理。
這些方法雖然提高了安全性,但會嚴重影響用戶的工作效率,並且無法抵抗網路釣魚。此外,許多 MFA 身份驗證機制仍然依賴密碼作為身份驗證因素之一,這仍然會產生安全漏洞。
最近針對 Uber、Twilio 和 Cloudflare 的網路釣魚攻擊表明,隨著身份驗證機制的發展,攻擊方法也在不斷發展。一項令人擔憂的新趨勢顯現:一次性密碼攔截惡意程式、在暗網上出售的 OTP 攔截服務的興起,專門用於攔截 TOTP(限時動態密碼)。
為了解決對密碼過度依賴的問題,Fast Identity Online(FIDO 聯盟)是一個開放的產業協會,旨在幫助提高身份驗證安全性,減少對密碼的過度依賴,同時發佈關於無密碼和防釣魚認證。
時至今日,大多主流瀏覽器已實施 WebAuthn 規範,為用戶廣泛提供標準化、網路整合、防網路釣魚的身份驗證機制,無需特殊的閱讀器硬體,或是安裝驅動。
對 2FA 的影響和採用障礙
從理論上講,無論這些使用案例與基於硬體的登入憑證是否有關,基於 FIDO 的解決方案都可以提供網路釣魚防護,進而提高消費者雙重身份驗證的安全性。但卻有以下兩個關鍵原因,對採用流程產生阻礙:
1. 恢復問題:當用戶更換或丟失裝置時,由這些平台驗證器管理的憑證也會遺失。因此,用戶在從全新裝置首次登入關鍵應用程式時,不能太過依賴平台身份驗證器。除了必須重新註冊每台新裝置之外別無選擇。
2. 對硬體的依賴容易造成丟失或被盜:為確保抵禦網路釣魚,用戶需要隨身攜帶可用作為漫遊驗證器的安全硬體金鑰,可用於跨多個裝置進行身份驗證的,而且還是專為行動設計。
WebAuthn—密碼和無密碼身份驗證的推動者
WebAuthn 是無密碼身份驗證的關鍵推動力。像是 Google、Mozilla、Microsoft、Yubico 等知名組織都有參與。WebAuthn 能允許伺服器使用公鑰加密而不是密碼來註冊和驗證用戶,也能允許 Web 應用程式透過使用註冊裝置(電話、筆記型電腦等)作為身份驗證因素,進而簡化和保護用戶身份驗證。
多裝置 FIDO 憑證和無密碼身份驗證
以上提到的兩個問題,都能透過多裝置 FIDO 憑證(也稱為金鑰)來解決。多裝置 FIDO 憑證基本上就是「可備份」的 FIDO 憑證,通常備份到用戶的平台帳號(例如,Google 帳號或 AppleID)後,用戶就能夠將憑證恢復到另一個憑證中,並使用另外一個裝置。
從用戶體驗的角度來看,這類似於人們與密碼管理器互動,以幫助他們從不同裝置安全地註冊和登入網站的方式——只是它會更加安全,因為伺服器會獲得公鑰而不是密碼本身。此外,與密碼管理器不同的是,不需要實際創建和儲存密碼作為身份驗證器——而是使用生物識別技術。這使得越來越多的攻擊變得更加困難和高成本。
金鑰允許 FIDO 憑證在多個裝置(如手機、平板電腦或桌機)等不同平台之間漫遊。(要注意的是,Apple 已經宣布支持這些,Microsoft 和 Google預 計很快就會跟進。)帳戶恢復不再是問題,因為憑證現已集中式備份,並且可以在原始裝置丟失後「倖免於難」。此外,用戶不再需要隨身攜帶硬體金鑰,並且能夠依靠他們的裝置生物識別技術來獲得安全、防止網路釣魚的身份驗證器。
金鑰為企業帶來的潛在安全挑戰
對於多裝置憑證所運用的無密碼解決方案,也可能會為企業組織帶來安全挑戰。由於憑證不再受裝置約束,用戶可以使用列管裝置進行註冊,然後從不受管理和監控的裝置訪問關鍵應用程式,如果該裝置不受組織安全策略的約束,則可能會產生風險。
企業可能對這種安全假設感到不滿意(平台身份驗證器金鑰可從硬體匯出),特別是如果他們之前允許 WebAuthn 平台身份驗證器滿足企業 IdP 或應用程式所登入的所有保證要求。
讓我們以這樣一個情境為例:當員工Bob加入 Acme 並獲得公司派發的 MacBook 和 iPhone時,Bob 使用密碼成功註冊,並被授予訪問敏感應用程式的權限。接著Bob 安排了臨時差旅,並決定在機場使用他的個人 iPad(非公司發配的的託管裝置)訪問這些應用程式。由於金鑰不受裝置限制,Bob 可以使用他的 iPad 訪問這些敏感應用程式。然而,iPad 使用的是舊的、易受攻擊的 iOS 版本,不符合組織的安全態勢要求;這是一個嚴重的安全漏洞。從管理員的角度來看,這問題需要立即被解決!
Okta 金鑰管理功能:Okta Passkey Management
為了解決這種危險情況,Okta 推出了密碼管理功能「Passkey Management」,允許管理員阻止新註冊的密碼。當管理員啟用此功能時,將禁止用戶使用多裝置 FIDO 憑證進行註冊,進而避免任何潛在風險。請注意,這不會影響現有註冊,這些註冊將根據其先前的設置繼續運作。Okta正在努力增強此功能,以便將也可以將其應用於應用程式的登入策略。
因此,管理員可以確保僅在託管裝置上實施安全策略,並解決未託管和潛在受損裝置能夠訪問應用和破壞機敏數據的風險。
此自助服務功能設定能在 Okta Classic 和 Okta Identity Engine 中啟用,並且可以從管理儀表板的「Settings - Feature」頁面訪問。
Opmerkingen