COSCUP 2016 議程分享 – 資訊安全篇

今天認識了U2F的總總,從早上十點半開始,
講題為【深入淺出 Google/Dropbox/GitHub 都採用的 FIDO U2F】。

講者從身分驗證開始切入,現在密碼使用的方式,其實是不好的資訊安全實踐。從自身是密碼學研究者出發,提到密碼管理員這個解決密碼問題的解決方案。當今的作業系統其實並沒有為了密碼管理員去專門設計,所以並沒有完善的使用體驗設計。

接著提到現在使用簡訊進行雙重驗證的部分,使用簡訊傳送OTP(英语:One Time Password,簡稱OTP),其實也不甚安全。NIST(National Institute of Standards and Technology)也在前陣子宣布了簡訊類的OTP末日。

FIDO(Fast IDentity Online)在成立之後,訂立U2F的相關標準。講者也詳細的說明了整個U2F的運作流程,並在一開始與舊有的驗證流程對比。對於流程中的細節角色,Relying Party、Client、Authenticator都有詳細的解說。我當然還是建議想要使用的開發者,還是要親自去看看規格文件唷。

最後,講者還實作了一個sofrware的U2F在系統上,並且有完整的測試整個流程。

最近應該會有一連串的COSCUP文章會進行發表。

畢竟報名了社群記者,也想趁這機會多整理一些自己紀錄的東西。