FIDO結合DBSC等技術來應對Session劫持，並聚焦SSF框架拓展不同身分安全協作

陳俊良指出，回顧半年多來，FIDO2（CTAP2）標準有新的技術演進，新標準允許傳遞更多元參數，讓驗證器在進行身分鑑別的同時，能安全地傳遞可驗證數位憑證（Verifiable Digital Credentials，VDC）、檢查PIN碼複雜度、指定特定認證器，甚至具備儲存加解密金鑰的功能，大幅擴展了其應用場景。此外，支付應用今年也已獨立成立工作小組Payments Working Group（PWG）。

在跨協定合作方面，FIDO聯盟企業部署工作小組（EDWG）近期的動態尤為特別，其中有兩大焦點值得業界注目：

DBSC（Device Bound Session Credentials）

首先，該小組於2025年5月發布白皮書：《DBSC/DPOP as Complementary Technologies to FIDO Authentication》，強調雖然現行FIDO技術雖然防禦了登入階段時的密碼遭網釣威脅，但其他技術環節仍有風險，特別是後驗證（Post-Authentication）階段，使用者登入後獲得的Cookie或Access Token，仍可能被惡意軟體竊取。

因此，該白皮書強調FIDO結合W3C正推動的DBSC（Device Bound Session Credentials）標準，以及結合OpenID基金會推動的DPoP（Demonstrating Proof-of-Possession）標準，這兩者主要目的都是要實現裝置綁定（Device Binding），將安全性從登入過程，延伸到後段的Session Security。

事實上，近期這方面又有新進展，Google自兩年前測試DBSC後，今年4月宣布將其導入於Chrome瀏覽器。

SSF（Shared Signals Framework）

另一項重點是該小組於2025年10月發布的白皮書《FIDO and the Shared Signals Framework》，該文件聚焦於OpenID基金會開發的共享訊號框架，目標是將身分與存取管理（IAM）與信任機制深度結合。

簡單來說，在傳統架構下，各個IAM系統往往各自為政，這導致使用者在登入後的風險狀態變化，難以即時同步給其他系統，例如Token遺失或帳號遭劫持。而透過FIDO與SSF的結合，透過CAEP（持續存取評估）協定來即時分享設備合規狀態、撤銷Token或強制變更連線Session，透過RISC（風險事件協作）來傳遞帳號盜用與異常行為。

陳俊良舉例，當行動裝置管理（MDM）系統偵測到手機環境不合規時，能透過SSF框架即時通知所有串連的應用系統強制登出；在人員入職、離職或調職時，也能確保各系統權限同步自動更新。此外，在執行帳戶復原流程時，配合SSF的訊號偵測，能有效防止攻擊者趁虛而入。