FIDO 的野望 - 取代传统密码
生活在互联网时代的我们,每天都会面临一项重大的考验。这项考验无数次冲击了我们对自己记忆力的信心,也引发了我们对世界本质的深入思考……这个考验就是——记住密码。
当然,除了不好记之外,安全也是一个严重的问题,甚至有时候密码能难住的只有自己。这个问题,难不住黑客,也没有难住 Google。
据 Engadget 报道,Google 最近加入一个身份验证技术联盟——FIDO (Fast IDentity Online),并成为理事企业。该联盟旨在开发互联网身份验证的新技术,可选用的手段包括生物特征识别、语音识别、脸部识别、USB 验证令牌、NFC 技术和一次性密码等。
除 Google 外,该联盟成员还包括 PayPal、联想、Nok Nok Labs 和 Validity 等。而半导体公司 NXP 和设备生产商 CrucialTec 也和 Google 在同一天加入了 FIDO。
Google 负责信息安全的高层 Sam Srinivas 表示,加入 FIDO 联盟和相关工作组将推动 Google 开发出更安全、更通用的身份验证技术。“加入 FIDO 联盟将大力推进业界寻求更好的身份验证方法。我们也在继续研发更通用的‘第二步令牌’,并将其做为 FIDO 新课题的一部分。”
根据 FIDO 联盟的标准,对采用物理密令来登陆帐户的验证方法来说,其关键在于密令设备。
FIDO 联盟首席信息安全官员 Michael Barrett 表示:“消费者的密码可以通过穷举、盗取信用证书、网络钓鱼等技术手段被他人获得。因此 FIDO 联盟的出现就显得至关重要了,因为 FIDO 将用户的密码凭证储存在某些设备中,使网络犯罪者难以得到这些信息,侧面打击网络犯罪。”
设备厂商在加入 FIDO 联盟之后,可以在其设备中放置一颗安全芯片,保证用户的帐号和信息安全。当然,用户也可以自行购买指纹识别器之类的设备。
传统密码认证+物理设备认证的双重认证法一直受到安全专家的推崇,但只有部分游戏玩家、银行和私人企业会采取这种最为保险的办法。目前,诸如 Google、Dropbox、非死book 等企业都向用户提供双重认证的措施,只有极少部分的用户会使用它。
在使用传统的验证方法时,系统需要从客户端发送密码到远程服务器的密码库中进行比对,这样就存在密码被拦截和破解的风险。对远程服务器而言,一旦超级管理员的帐号被盗,损失将不可估量。
而使用 FIDO 联盟的验证方法,用户的密码不会被发送出去,而是在设备内部通过软件来处理。企业如果要使用 FIDO 的认证方式,只需要在服务器上安装验证软件,然后在客户和员工的设备上安装相应的插件或应用程序即可。一旦验证通过,软件会将密钥发送到登录服务器,此过 程中系统不会保存任何登陆信息。之后,登陆服务器会发送密钥到用户设备上,表示验证已经通过。
今年 1 月,Google 安全副总裁 Eric Grosse 和工程师 Mayanl Upadhyay 在美国电气和电子工程师协会(IEEE)的安全和隐私杂志上发表了一篇文章,文章中描绘了一个不存在密码世界。
他们在文章中提出了几种密码的替代品,比如 USB 令牌和一个小戒指。
Google 已经开始在 Chrome 浏览器中添加了对密保卡的支持,用户只需要插入 USB 密保卡即可自动登录。而另一种密码的替代品外形就像一只普通的戒指,用户戴着它就能实现身份验证。
像我这种所有账号都用同一个密码的人来说,这些功能实在是太贴心了。