密码对于在线应用安全是非常必要的,钓鱼邮件、垃圾邮件和弱口令等对用户带来了潜在的安全威胁。为解决密码存在的相关问题,W3C和FIDO联盟开发了通用无密码登录标准——FIDO。近日,微软、谷歌、苹果三大互联网巨头宣布将支持FIDO无密码登录。
很多人会好奇,这个FIDO联盟是干啥的,苹果、谷歌和微软这三巨头对这个联盟的支持又意味着什么呢?
FIDO联盟成立于 2012 年 7 月,是一家推行通过“将认证方式与认证协议分离,利用硬件设备内嵌的安全能力,对多设备多应用的不同身份认证方式提供同样的支持”技术实现移动端身份认证的联盟。
在2015年其成员就包括了英特尔、微软、谷歌、BlackBerry、ARM、 MasterCard、美国运通、三星电子、中国金融认证中心、阿里巴巴、联想等企业。我们熟悉的支付宝、京东钱包、翼支付,国外使用的PayPal、NTT等等,都使用了FIDO联盟的相关技术。而苹果是在2022年才加入的。
FIDO联盟成员
FIDO联盟旨在通过“一组开放、可扩展、可互操作的机制和强大、更私密的身份验证标准,来减少对密码的依赖”。其实对于普通人来说,我们已经习惯性的接受了很多无密码登录的行为,比如早期的USB秘钥如今的短信验证,都是一种无密码登录操作,它的好处就是无需记忆、动态、不受地点限制等。
FIDO 联盟此前相关技术解析
如果能够让我们在登录账号的时候不需要输入密码就可以登录的话,那我们是不是在某种程度上就实现了密码永远不会泄露、账号也更安全呢?
FIDO联盟就是这么想的。
根据官方介绍,FIDO联盟的主要目标是“解决强认证设备之间缺乏互操作性以及用户创建和记忆多个账号及口令所面临的问题。”
它的认证协议允许用户在合作网站和应用程序中,不输入密码也能进行简单、安全地登录。
原理如下,FIDO通过两个子协议:UAF和U2F实现安全登录(验证):
第一个U2F标准是关于使用PIN和USB棒或者支持NFC的手机;第二个相关协议UAF支持指纹、语音、虹膜扫描等生物测定身份识别技术。
因为没有密码输入,所以我们也就不存在所谓的遗忘密码或泄露密码。
而这一次微软、谷歌、苹果所希望推行的是一种新的登录方式。具体来说就是将手机作为登录秘钥,通过手机在进行账户登录时,存储一个基于公钥加密的FIDO凭据,以用于访问其他设备上的账户。
该凭据只在用户解锁手机时显示到在线账户,当你使用在电脑上登录网站时,手机会收到系统提示,我们可以通过验证指纹、面部扫描、虹膜或设备PIN码解锁手机,从而实现电脑上的对应账户登录。
你可以发现,企业正在让人们从密码认证逐渐转向身份认证,从简单的数字字母字符转向更具有安全性的生物识别设备上,毕竟密码知道就可以使用,而你的指纹、面部数据、虹膜,乃至于你的手机和电脑,并不是那么好复制和获取的,这是此项技术的基本根据。
如今,苹果、谷歌和微软等这些巨头的支持,可以加快FIDO认证在消费级市场的推广。或许在不久的将来,我们就要告别手动设置密码的时代了,使用虹膜识别,0.5秒之内实现无密码登录。
责任编辑:Rex_08
营业执照公示信息