Fidoalliance:密碼安全認證聯盟是由PayPal和聯想等公司聯合成立的“FIDO聯盟”釋出了一系列技術標準,將有效降低人們對密碼的依賴程度,讓網路帳號安全更上一個臺階。
雖然我們的生活中充滿了各種密碼,但是用來保護網路帳號卻並不安全。消滅密碼或者減少密碼的使用,將大大提高網際網路的安全係數。
根據FIDO聯盟的標準,採用物理密令的方法來登陸帳戶,在密碼的驗證過程中,密令裝置將起到更加關鍵的作用。FIDO聯盟首席資訊保安官員Michael Barrett說:“消費者的密碼憑證可以通過猜測、網路盜取信用證書、網路釣魚等技術手段獲得。FIDO聯盟的出現至關重要,因為FIDO則將使用者至關重要的密碼憑證儲存在裝置中,使網路犯罪者更難得到這些資訊,更難開展網路犯罪。”
加入FIDO聯盟之後,電腦和手機廠商將在其裝置中植入一顆安全晶片(而現在的絕大部分電腦都內建該晶片),保證使用者的帳號、資訊保安,個人使用者也可以購買採取相應技術的硬體裝置,比如說指紋識別器。Barrett說,採取這種公開標準,任何公司都可以來使用並銷售符合標準的裝置,這樣可以擴大新安全技術的使用範圍,逐漸取代“密碼”在個人帳戶安全領域的地位。
加入FIDO聯盟的企業可以選擇一二級密碼或者徹底拋棄密碼。Nok Nok實驗室總裁Phil Dunkerberger說:“(有了FIDO標準)終於可以擺脫糾纏了我們幾十年的密碼了。”Nok Nok實驗室最近融資1500萬美元,開發出符合FIDO認證標準的安全軟體。
FIDO聯盟的一個目標就是更好地利用電腦硬體中已經自帶但是很少使用的安全裝置。絕大部分桌面電腦、膝上型電腦和少數平板電腦都搭載有一顆專門用來進行身份識別的TPM晶片。FIDO標準還允許手機制造商用NFC技術來達到TPM晶片相應的功能。據瞭解,ARM和Intel公司都有醫院在未來為手機和平板電腦開發類似於TPM的技術。
安全專家曾一再強調雙重認證(即第一步為傳統密碼,第二部為物理裝置認證)的重要性,但是還是很少有使用者會使用這樣的驗證步驟,只有遊戲玩家、銀行、大公司會採取雙重認證的方法。像Google、Dropbox、Facebook等企業都提供雙重認證措施,但是隻有極小部分的使用者會使用。
企業如果要使用FIDO認證方式,只需要在伺服器上安裝驗證軟體,然後在客戶和員工電腦上安裝外掛,或者在手機上安裝企業應用程式即可。
FIDO認證在驗證使用者身份時也更安全。傳統的驗證方法,需要客戶端傳送密碼到遠端伺服器的密碼庫中進行比對,但是存在被攔截和破解的風險。而且密碼儲存在同一個遠端伺服器上,如果超級管理員帳號被盜,那麼損失的不只是一個使用者的密碼。上個月Twitter密碼被盜事件,就是如此。
在FIDO的認證過程中,任何密碼都不會被髮送出去,而是在手機、電腦的軟體中處理。驗證通過後,軟體傳送金鑰到登入伺服器,不儲存任何登陸資訊。與此同時,登陸伺服器傳送金鑰到使用者裝置告知其“已經通過認證”。
FIDO聯盟的聯合創始人之一Ramesh Kesanupalli說,“所有密碼均在一個裝置中處理,如果黑客要盜取密碼,就得把裝置偷走。”
FIDO認證標準的出臺已經吸引了黑客的注意。根據調查公司IDC的資訊顯示,“這麼一個大的系統,肯定會吸引無數黑客來尋找漏洞。一旦被攻破一次,FIDO系統就完了。”
為了形成足夠大的影響力,FIDO還需要更多企業的加盟。“PayPal的加盟,將給FIDO帶來足夠的關注度。”目前FIDO聯盟主要在討論技術問題,有關如何商用將在未來進行討論。
The FIDO (Fast IDentity Online) Alliance was formed in July 2012 to address the lack of interoperability among strong authentication devices as well as the problems users face with creating and remembering multiple usernames and passwords.
The FIDO Alliance plans to change the nature of authentication by developing specifications that define an open, scalable, interoperable set of mechanisms that supplant reliance on passwords to securely authenticate users of online services.
This new standard for security devices and browser plugins will allow any website or cloud application to interface with a broad variety of existing and future FIDO-enabled devices that the user has for online security.
