數位部導入國際FIDO標準 唐鳳:沒密碼就不怕被騙走

分享到

(中央社記者蘇思云台北15日電)數位部長唐鳳今天表示,數位部目前內部系統都已全部改成免密碼,如果沒有自然人憑證或行動自然人憑證,什麼系統都無法連上,「沒密碼就不用擔心被騙走」,導入國際FIDO標準後,也比輸入傳統密碼速度更快。

數位部產業署今天下午舉行「2023網路信賴基礎環境應用導入論壇」。本次論壇數位部也與FIDO聯盟台灣分會與電商公協會共同宣示「打造網路信賴生態系」。

唐鳳致詞時表示,數位信任是數位韌性最重要的第一道關卡,數位部去年成立時,就已率先採用TW FidO(中華民國行動自然人憑證),用來登錄內部網站、系統簽公文等,也作為公共建設,希望推廣到不同部會。

唐鳳表示,只要可以複製貼上的東西,都可能變成詐騙標的,「只要沒有密碼,就不會發生密碼騙走的問題」,產業署花了很多時間,致力建立無密碼環境。數位部成立近1年,目前內部系統都已經全部改成免密碼,如果沒有自然人憑證或行動自然人憑證,無法連上系統。

唐鳳解釋,所謂零信任就是「永不信任、持續驗證」,包含生物特徵、設備裝置與連線行為等「3道防盜門」策略。其中一道門被攻破,還有另外兩道門可以防杜,這套零信任防護方式不只是公部門可以使用,也想推廣到各行各業。

唐鳳表示,金管會非常領先,目前多家金融機構已經用金融FIDO方式。數位部今年1月加入國際身分識別標準組織FIDO聯盟,感謝FIDO聯盟台灣分會會長張心玲,目前分會已有27個會員。

唐鳳表示,內政部昨天修正通過「內政部行動自然人憑證系統介接申請要點」,擴大TW FidO系統的服務對象,從原本電信、醫療等行業,擴大行動自然人憑證系統服務對象到適用個人資料保護法的機關或非公務機關。

唐鳳表示,TW FidO不只有簽章跟認證身分2個功能,它跟卡式的自然人憑證一樣,有加密跟解密的功能,目前還在測試,一般機密公文以前都只能夠用紙本,應該接下來1到2個月,也可以用TW FidO,進行端到端的加密,讓以前公務體系中只能紙本做的、慢慢也能數位化,公務活動也可以不用限定在台北或是特定地點進行。

唐鳳會後受訪解釋,很多人不同網站可能用同1組密碼,但如果有一個網站密碼外洩,其他服務也可能有風險,釜底抽薪的方式不是要求改用20幾位數的密碼,而是不要用密碼,今天的宣誓就是希望導入國際FIDO標準,這是一套免密碼登入的標準,像是在自己手機上感應指紋等,以此取代輸入密碼的方式,也能避免後續很多的網路釣魚攻擊。

至於傳統密碼跟FIDO標準最大差異在哪,唐鳳表示,密碼是很容易破壞的科技,隨著機器算密碼速度很快,如果密碼很短,很容易被機器破解,如果密碼很長,輸入時間也很久。如果採用FIDO裡面Passkey的方式,登入網站時,透過指紋感應可能平均花費4.4秒,比傳統輸入密碼來得快。(編輯:林淑媛)1120815