「通行密鑰(Passkeys)」作爲使用網路服務時無需密碼的認證技術而備受矚目。自2022年3月概念被提出以後,不僅蘋果、谷歌等美國IT(資訊科技)大型公司,日本雅虎、KDDI也都相繼表示採用此技術。預計該技術將提高認證的安全和便利性,並有望幫助滅絕「網路釣魚詐騙」。
通行密鑰登錄畫面示例。透過指紋認證資訊可以不用輸入ID和密碼
推進通行密鑰普及的國際標準化團體「FIDO聯盟」於2022年12月上旬在東京都内舉行了研討會。演講者看好今後使用通行密鑰的企業會進一步增加。
通行密鑰,是在無需密碼就能登錄的「FIDO認證」基礎上改善了便利性的技術。在智慧型手機或電腦上錄入認證資格資訊後,便可於多個終端機共用資格資訊,在支援通行密鑰的網路服務中無需密碼即可登錄。
認證資訊不會在網路上流通,因此安全高,也不需要以往的多重認證。因爲是與網路服務相關聯的認證方法,因此也能有效地打擊引導至假冒網站輸入ID和密碼,盜取資訊和金錢的釣魚詐騙行為。
蘋果、谷歌、美國微軟已經公佈,智慧型手機、電腦的基本軟體(OS)和網路瀏覽器將支援通行密鑰。在日本,雅虎和KDDI宣佈採用此技術,NTT DoCoMo也將從2023年2月開始在「d賬戶」上使用通行密鑰。FIDO聯盟的執行總監兼首席營銷官Andrew Shikiar指出:「我們預計這一趨勢在2023年以後也仍會持續。」
以往普遍使用的密碼認證方法,需要客戶記住或輸入多個密碼,非常麻煩。客戶會傾向於在多處使用相同的密碼,這樣反而增加了密碼泄漏引起的不正當使用的危險度。
FIDO聯盟在東京都内舉辦研討會
爲此,FIDO聯盟開始普及無需密碼的FIDO認證。使用FIDO認證,客戶只需在所持智慧型手機及電腦上錄入認證資格資訊,作爲認證工具(認證器)使用,便可透過指紋、臉部等生物資訊和被稱爲PIN(個人識別碼)的密碼進行登錄。
認證器會透過公用鍵基礎設施,製作一對密鑰和公用鍵。當客戶在每個網路服務中註冊公用鍵時,網路服務就會用公用鍵驗證,登錄時客戶認證器中是否保存了成對的密鑰。如果驗證成功的話,就能透過客戶認證。
密鑰和生物資訊被保存在認證器中,不會外泄。並且,以密鑰製作公用鍵容易,但以公用鍵製作密鑰在技術上很難。即使公用鍵泄露也無法以此製作密鑰,所以很難被他人冒充。客戶可以省去設定、輸入密碼的麻煩,網路服務方也可以減量嚴格管理密碼的負擔及對「忘記密碼」諮詢的因應。
另一方面,FIDO認證在客戶更換或丟失智慧型手機、電腦時,需要重新註冊認證資格,因爲認證資格和終端機是一對一連接的。
因此,通行密鑰會將FIDO認證資格加密,透過備份到OS和雲服務,讓OS相同的終端機之間可以起伏同步認證資格。即使在OS不同的終端機之間,只要透過QR碼或近距離無線通信「藍牙」起伏同步雲上的認證資格,就可以在支援通行密鑰的網路服務中無密碼登錄。
在金融機關的賬戶開設等需要嚴格認證的情況下,也可以追加連接終端機的其他認證手段。今後,如果網路服務方對通行密鑰的應用進一步擴大的話,「無需密碼」將成爲理所當然的基礎設施服務。
日文:大豆生田崇志、《日經產業新聞》、2022/12/21
中文:JST客觀日本編輯部
