top of page

WebAuthn:成長與挑戰

文章來源 / Okta Official Blog


在本文中,我們將介紹一些 FIDO2 WebAuthn 的特點,這些特點使其在其他身分驗證器(驗證因素)方面具有優勢。我們還將從 Okta 的角度深入探討 WebAuthn 的使用和增長情況,以及我們在 Okta 此處正在努力解決的一些挑戰。


WebAuthn(Web 身分驗證)是 FIDO2 規範的核心組件之一,與用戶端驗證器協定(CTAP)一起,提供使用公開金鑰密碼學進行抗釣魚身分驗證的方式。幾乎所有主要的瀏覽器和平台都支援 WebAuthn。


近來,我們已經看到大部分傳統的多重身分驗證(MFA)方式,像是簡訊、推播和密碼,已成為釣魚攻擊的目標,導致帳號遭駭、金錢損失,以及組織信譽受損。在眾多的驗證方式中,FIDO2 WebAuthn因其抗釣魚的特性而脫穎而出。相較於像一次性密碼(OTP)和密碼等驗證方式,WebAuthn也提供了更方便的使用體驗,不需要使用者手動輸入資訊。


舉例來說,我們可以輕鬆將WebAuthn與一個廣泛使用的驗證方式,簡訊,進行比較。傳統上,大多數組織使用簡訊進行MFA;不僅涉及延遲,還有可能收不到簡訊,再加上輸入錯誤代碼的可能性。WebAuthn將解決所有這些缺點,並提供成本節省(簡訊費用需付 recurring money)。


然而,就像世界上的所有事物一樣,總是存在著權衡。WebAuthn(當設備綁定時)也有其缺點。其中最大的缺點是,如果使用者不慎丟失憑證,則無法恢復這些憑證。可以從安全的角度來看,這樣的設計是有道理的。第二大缺點是WebAuthn驗證器之間的差異,例如安全鑰匙可以跨多台機器使用;然而,基於平台的驗證器僅限於該平台(在某些情況下僅限於瀏覽器)。


從基於平台的驗證器的角度來看,被歸類為缺點的特性可能被視為暫時的,並且可能是歷史性的,因為FIDO聯盟正在與重要的平台供應商一起努力解決這些問題。我們將在本系列的第二篇文章中進行探討。


WebAuthn的成長


作為身分驗證領域的主要參與者之一,我們對WebAuthn驗證器的分佈和其在一段時間內的成長有一些可見性。儘管WebAuthn的規格於2016年首次發佈,但它花了一些時間才成為主流。截至撰寫本文時,我們已經有將近300萬個WebAuthn的註冊。下面的圖表顯示了2020年如何實施驗證器支援,在短短三年多的時間內,它是增長最快的驗證器之一,每年的增長率超過了600%。除了所有驗證器的成長外,我們還捕捉了安全金鑰使用的增長情況,這是所有WebAuthn驗證器的一個子集。



另一個讓人振奮的數據是關於不同類型的 WebAuthn 認證器分佈的情況。下面的圓餅圖展示了所有認證器的大致分佈情況。這些認證器的種類相當多樣,但為了圖表的清晰,我們只列出了主要的幾種認證器。有一個引人注意的事實是蘋果的裝置在 WebAuthn登錄中佔據了最多的比例。


WebAuthn 的複雜性

WebAuthn流程有三個核心組件:

  • 認證器:這可以是一個基於硬體或軟體的元件,用於生成和儲存每個憑證的私密金鑰。認證器透過客戶端與依賴方(伺服器)進行通訊,並使用與客戶端配合的 CTAP 協議版本。

  • 客戶端:這是核心組件,負責在認證器和伺服器之間進行 WebAuthn 憑證的註冊和驗證。網頁瀏覽器通常扮演此角色。

  • 依賴方:根據 FIDO2 的定義,依賴方是一個實體,其網頁應用程式使用 Web 認證 API 來註冊和驗證使用者。


接下來,我們來介紹 Authenticator Attestation Global Unique Identifiers(AAGUID)的概念。AAGUID 是 WebAuthn 認證器可以選擇透過客戶端(瀏覽器)與依賴方(伺服器)共享的獨特識別碼。儘管識別認證器至關重要,但沒有中央機構分配 AAGUID。即使 AAGUID 可用,如果認證器未提供可驗證的驗證,它僅僅是一個信號。


一方面,WebAuthn 被設計成具有堅實的用戶隱私原則;另一方面,對於企業而言,從安全角度來看,驗證使用者的正確身份或驗證所使用的認證器類型非常重要。許多 WebAuthn 認證器選擇不透過提供通用的 AAGUID:AAAAAAAAAAAAAAAAAAAAA 來識別自己。在這種情況下,有趣的是,MacOS 上的 Chrome 與 MacOS 上的 Safari 是不同的認證器。如果使用者在 MacOS 上的 Chrome 上進行了註冊,他們無法使用 MacOS 上的 Safari 來進行該註冊的身份驗證,這可能對大多數使用者而言會感到困惑。然而,這些認證器都沒有提供可驗證的驗證,以證明認證器的可信度。另一方面,Windows Hello 提供了可驗證的 AAGUID。總之,儘管像 MacOS Touch ID 這樣的平台認證器提供了便利的使用,但由於缺乏可驗證的驗證,它們在服務器端無法進行驗證。


允許清單功能


在 Okta,我們意識到許多組織對於認證器的來源有著嚴格的要求。我們最近推出了一項名為「允許清單」的功能,允許組織從 FIDO 元數據服務(MDS)列表中選擇他們信任的認證器(AAGUIDs)。這個功能允許組織管理員鎖定 WebAuthn 註冊和身份驗證,並選擇他們所信任的認證器。


到目前為止,我們已經看到 WebAuthn 作為認證器中的一員,在近年來由於其易於使用和抵禦釣魚攻擊的特性,採用率逐漸上升。此外,我們也深入探討了一些相關概念和挑戰,以及在 Okta,我們如何努力為客戶解決這些問題。想要深入了解更多有關 Okta 的精彩文章,以擴展您的知識。歡迎閱讀更多。




Comments


bottom of page