你可能聽過FIDO～但你知道什麼是FIDO 嗎？FIDO 可以用來做什麼呢？它和F-FIDO 又有什麼關聯呢？想知道更多FIDO 的資訊嗎？快來看最新文章怎麼說！

介紹FIDO

FIDO 全稱為Fast Identity Online，是一種為了將跨網站、應用等多組密碼整合同為一組快速且安全的登入方式的技術標準。隨著數位科技的興起，使用不同數位服務所產生的各式各樣規則不同、且複雜的密碼組合，這些複雜且為數繁多的密碼組合不僅使用上令人生厭，而帳號或資料遭盜取的新聞更是時有所聞，而FIDO 正是為了解決這樣痛點而產生的概念。

FIDO 是指由同名的非營利組織FIDO 聯盟所訂定的一套網路識別標準，意在確保登入流程中伺服器及終端裝置協定的安全性。而這套識別標準透過公開金鑰加密（Public Key Cryptography）的架構進行多重因素驗證（MFA）以及生物辨識登入來強力且嚴密地保護雲端帳號的個資。取代傳統密碼的登入方法，成為跨網站和應用程式的快速安全登入體驗。

FIDO的特點／重要性／應用場景

FIDO 的特點

1、不再使用密碼，使用者用來快速驗證的生物資訊儲存在裝置端，進行身份驗證時不會傳輸任何敏感資訊。

2、使用一次性的簽章資料，大幅降低使用者忘記密碼或是資料被竊取的可能性。

3、解決過去密碼造成的各式問題，並且規範快速驗證可以如何安全地使用與施作。

FIDO 的應用場景

1、金融、銀行產業

金融法規限制嚴謹，科技發展及隨著網路銀行、行動數位設備普及，越多銀行及金融業企業在重視科技發展的同時也高度關注資安議題，FIDO 認證則是一款能夠提供使用者高度安全保障的技術，既能快速便利的登入帳號，又能確保個人隱私不會洩漏於第三方。

2、一般行業

FIDO 可以在員工需要遠距離調用企業資料時進行登入認證，確認員工從企業認可的裝置設備中登入，且無須擔心密碼洩漏的問題，因為與伺服器的認證式透過無密碼認證，也就是生物辨識，能將企業資料安全防護做到最好。另外，管理者可以透過後台調整每一位使用者的存取權限，提升資安監管層級。

3、IoT設備與物聯網產業

物聯網的蓬勃發展大大地改變製造業、零售業、醫療業等各式產業的生態，因此FIDO 聯研發出專為IoT 物聯網設備的FIDO 認證FDO (FIDO Denvice Onboard) 協議。

4、5G時代應用

5G 講求大頻寬、大連結及超低延遲，而其中低延遲的特性若沒有做好資安防護，一旦遇到惡意攻擊將難以在極短的時間內反應及補救，因此，提早建置良好完整的資安環境，降低風險將會是5G 時代最重要的科技議題之一，FIDO 解決方案能提供良好完善的應用技術，讓使用者透過實體裝置認證，以避免資料被駭客取得，為5G 時代做最好的資訊防護。

為何需要FIDO｜重要性

即使密碼設定的要求越來越複雜、管理規則也越趨嚴謹，然而，密碼安全性的問題也益加暴露在各種資安威脅中，例如網路釣魚、暴力破解、撞庫攻擊等，81%的資料外洩事件起始於密碼被盜用或弱密碼。尤其，近兩年因為疫情，在未有充分準備部署資安環境的情況下，企業即開始要求員工分流、居家工作，因為遠距工作而產生的資安漏洞，各國企業遭到網路攻擊的比例高達78%。

FIDO 聯盟的起源

2007年

根據FIDO 官網以及 SearchSecurity 文章當中的記載，FIDO 聯盟的成立要追溯到 2007 年，現今全球知名的第三方支付平台 PayPal 當年正為了軟體資安的把關，致力於推行一次性密碼（OTP）給其用戶。然而由於當時民眾普遍對於資安意識的薄弱，OTP 的採用率在當時並不高。

2009年

在 2009 年，研發指紋辨識的維立科技向PayPal 探討以指紋辨識的科技來登入服務的想法及可能性，這也激發出了兩家公司認為業界需重視資安議題，訂定一套更嚴密的身份識別標準的資安意識。

2012年

於是 FIDO 聯盟便於 2012 年成立了，成員公司 PayPal、Lenovo、Validity Sensors 等科技巨擘攜手引領了無密碼登入的創新思維，隨後也陸續吸引了 Google、微軟、NTT 等知名科技公司加入。

2016年

成員總數也在 2016 年超過了 260 家公司，並且持續秉持著三大原則：便於使用、隱私安全以及標準化。

介紹FIDO 聯盟

成立宗旨：為解決強制認證設備的交互性和用戶面臨大量複雜的用戶名和密碼。

FIDO 聯盟本身是一個具有開放性的非營利產業聯盟，創始者是 Paypal 跟聯想的創辦人，於2013年2月成立，其他著名的成員還包含 Google、Apple、Microsoft 等各家服務大廠都在其中。

FIDO 聯盟期望通過以下方式來實現其主要使命：開發和推廣身份驗證標準，藉此幫助全球各個產業、服務應用等減少對密碼的依賴性

• 制定技術標準，確立一套開放，可擴展，可協作的機制，以減少驗證使用者時對密碼的依賴

• 實施行業認證計劃，以幫助確保在全球範圍內成功採用該標準

• 將成熟的技術標準提交給公認的標準制定組織，使 FIDO 實現標準化

在 2018 年，國際電信聯盟(ITU)也已經通過將FIDO UAF 和FIDO2 CTAP2/U2F 納入正式標準之中。

正是有 FIDO 聯盟制定了相關的標準，才能夠另全球多樣化的無密碼解決方案有一個統一的標準，讓需求企業挑選符合自己的方案，也讓這些企業的顧客受到更深一層的保障。

FIDO和傳統密碼的差異

傳統密碼的登入方式是藉由使用者輸入的帳號與密碼與驗證的資料進行比對，經過身份識別與身份驗證確認使用者身分之後，再允許登入，代表著只需要知道帳號跟密碼，即使不是本人登入也能夠通過驗證，除了IP 位置也無法追蹤由哪一端進行登入。

FIDO 的優勢在於，由使用者的硬體裝置來進行身分驗證，再經由公私鑰架構線上識別身分。FIDO 將需要被驗證的資料保存在使用者硬體端，資料不會經由網路資料傳輸，也因此不會被洩漏，具有安全保障。

FIDO規範

FIDO 是一種方案標準，擁有各式各樣對於網頁端、移動端的不同標準，主要特徵：

• U2F：物理兩要素( two-factor authentication, 2FA)身份驗證密鑰的標準規格

• UAF：無密碼身份驗證技術的標準規格

• FIDO 2.0：

  • WebAuthn：一組標準的Web API，允許在瀏覽器中進行無密碼身份驗證

  • CTAP1：FIDO 1.0的U2F 標準，在FIDO 2中保留下來並重新更名

  • CTAP2：使用物理密鑰和移動身份驗證器應用程序實現2FA 和無密碼身份驗證的規範

FIDO的驗證過程

FIDO解決方案的核心在於使用者與伺服器從不交換任何資訊，如密碼、私鑰等才能夠確保使用者資料的絕對安全。

因此，FIDO驗證包含三大要素，包括FIDO 驗證伺服器、FIDO 用戶端，以及驗證器，當使用者要進行登入時，其過程如下：

1. 使用者提供帳戶或電子信箱進行登入要求

2. 此時服務應用會提供一個加密驗證簽章

3. 使用者使用FIDO身份驗證裝置中的應用程序或密鑰來簽署驗證簽章

4. 簽署完成後，使用者將簽署的簽章發回

5. 服務應用會對使用者私鑰對應的公鑰進行驗證，如果成功，則給予使用者權限進行訪問

F-FIDO又是什麼呢？

臺灣金融行動身分識別聯盟（F-FIDO）由聯合徵信中心、財金資訊公司及各金融相關業者於2021年第二季成立，要聯手為金融FIDO建立數位基礎，以加速推動金融行動身分識別標準化機制。

金管會2020年8月發布「金融科技發展路徑圖」，其中針對數位基礎建設，將研究發展金融行動身分識別標準化機制，推動方向即是由金融機構共同籌組金融行動身分識別聯盟F-FIDO，金管會解釋，目前金融機構在行動身分識別尚未形成一個標準，而是各家自行開發，開發成本上較高，造成資源浪費，如果導入國際FIDO標準，建立F-FIDO 這樣的機制，各家金融機構包括銀行、保險、證券等都可用同一標準導入，降低開發成本；甚至未來各家金融機構身分識別強度拉到同一水準時，便可以做跨機構行動身分識別互通。