computer security hardware token

【TechOrange 編輯部導讀】2023 年我們即將迎來無密碼時代,取而代之的是更為簡便卻更加安全的「密鑰」(passkey)。

然而事實上仍有更加安全的作法持續受到那些「需要保護極機密資料」的科技巨頭的青睞,並且作為個人資訊的防護,硬體密鑰也更加安全。

究竟硬體密鑰是什麼?它為何比任何密碼、密鑰等安全防護措施都還要安全?是否可能被破解呢?

本文由 Anice藍立晴與 ChatGPT 共同參與製作

2022 年世界密碼日(每年 5 月第一個星期四),蘋果、Google 以及微軟宣布將在 2023 年推出跨平台、跨裝置、跨瀏覽器的無密碼登入功能,也就是說,我們可以期待就此揮別繁瑣擾人的密碼(password),改成透過密鑰(passkey)來登入使用 Android 與 iOS 等行動裝置、Chrome、Edge、Safari 等瀏覽器、以及 Windows、macOS 桌機。

然而,儘管密鑰即將成為身份驗證機制主流,資安專家仍相信「硬體密鑰」(hardware key,也翻成硬體金鑰、硬體安全金鑰)仍有必要存在,並且成為最為保險的資安防護方式。

♦ TO 延伸閱讀:蘋果、Google、微軟攜手,一年內我們將迎接「沒有密碼」的時代

密鑰比密碼更安全!無複雜數字、英文、符號,卻有「身分驗證」這大關

無密碼時代裡,使用者手機中將儲存一個名為密鑰的 FIDO 憑證,用以解鎖手中的設備以及全部的線上帳戶,且可在多種裝置(包括全新裝置)上,自動存取自己的 FIDO 登入憑證 (密鑰),而無須重新註冊每個帳戶;不同 OS 平台或瀏覽器也同樣適用。

密鑰的解鎖方式也很簡單——輸入 4 位PIN 碼、畫出解鎖圖形、指紋驗證、臉部辨識——取決於使用者習慣的裝置解鎖方式,如此一來,登入程序不僅更簡便也更安全,因為使用者不用再費心記憶多組密碼,或為了怕忘記而在不同網路服務中沿用同一組密碼;對於駭客來說,要想遠端操控實體裝置解鎖,進而駭入無密碼系統的難度也更高。

目前支援密鑰功能的知名網站包含 Google、eBay、PayPal、機票比價網 Kayak 等,市面上也已經有數家密碼管理器如 Bitwarden、Dashlane,能讓使用者藉由生物驗證方式,不須輸入密碼即可登入密碼庫。

♦ TO 延伸閱讀:2023 年我們將踏入無密碼時代——1Password 全面轉向 passkey,連一組密碼都不必記

長得就像 USB!小小「硬體密鑰」為何能完全阻擋網路、軟體漏洞?

雖然從密碼到密鑰,網路身份驗證的便利性、可靠性確實提升不少,但面對更頻繁、更難纏的資安威脅,企業與個人能夠採取的最保險方法,終究還是硬體密鑰。

硬體密鑰是一種物理硬體,外表長得像一個 USB 隨身碟,用於儲存密鑰和進行加密操作。通常使用特殊的加密演算法以提供更高的安全性。在使用硬體密鑰時,用戶需要將其插入電腦,然後輸入一個密碼來解鎖它,才能進行操作。言下之意,攻擊者需要直接接觸該裝置才能進行攻擊,這代表硬體密鑰完全阻擋了針對網路、軟體漏洞的遠程駭客攻擊。

以跨國雲端企業平台 Cloudflare 為例,去年 8 月一波大型網路釣魚犯罪事件裡,Cloudflare 也是數百個攻擊目標之一,好幾間科技公司都遭遇資料外洩。可雖然 Cloudflare 確實有幾位內部員工上當,當時駭客卻無法深入系統以竊取機密資料,這是因為根據該企業的資安管控架構,每一位員工都必須在登入各種應用前,使用硬體密鑰進行使用者驗證。

資安事件發生的數週後,Cloudflare 還宣布和硬體驗證密鑰商 Yubico 合作,提供客戶 Yubikey 的產品優惠。

其實硬體密鑰已行之有年,不少大型軟體平台和公司都支援此驗證方式,甚至像 Cloudflare 那樣規定旗下員工採用,只不過近年國際資安攻擊頻傳,硬體密鑰功能因此格外受各界關注,例如,Apple 就在去年為 Apple ID 推出雙重認證之外的新驗證方法:讓 iPhone、iPad 和 Mac 使用者,能以 FIDO 認證的「第三方實體安全密鑰」登入裝置。

題外話,《TO》最近在嘗試與 AI 協作的方式,我們詢問了它「為什麼硬體密鑰很安全?哪些產業適合使用硬體密鑰?」,以及「那麼硬體密鑰有可能被破解嗎?」而以下是 ChatGPT 的回答,基本上並沒有出現錯誤。

來自 ChatGPT 的回答。

來自 ChatGPT 的回答。

對個人與企業,硬體密鑰都能再強化驗證安全

Crane Hassold 曾經擔任 FBI 數位行為分析師,他認為「對於防止欺詐控制帳戶接管(ATP)、網路釣魚攻擊來說,實體安全密鑰可謂最有效的方法之一,」若以安全性等級來看,「實體密鑰比驗證 App 安全,簡訊認證次之,最不可靠的則是 email 驗證」。

它的道理就像你家大門鑰匙:竊賊沒辦法遠端解鎖,而必須先拿到你家實體鑰匙才能開門;同理,駭客無法在沒有硬體密鑰的情況下,通過使用者的硬體驗證程序,當然也就無法駭入該數位帳戶。

ChatGPT 在回答中亦不斷強調即便硬體密鑰看似無敵,但在使用和管理上仍需要遵循嚴格的安全操作流程和管理,才能確保其安全性。

♦ TO 延伸閱讀:資安不只是國安,是台灣未來深化參與全球新經濟的基石

最後,閱讀完本篇文章告訴你一個小彩蛋:本文的標題也是由 ChatGPT 挑選。

歡迎各位持續閱讀 AI 與人類編輯共同協作的媒體內容。

*本文內容由 ChatGPT 與《TO》共同編輯、製作完成,參考資料:WiredPCMagTheVerge,首圖來源:Pixabay

(責任編輯:藍立晴)

立即報名 2/21 資安免疫系統強化論壇

TechOrange 特別為您邀請資安界重磅講者解析 2023 開年的首要戰略趨勢,為製造、零售電商、金融等各產業展開全方位資安健檢!