谷歌、Mozilla、微軟、Facebook、亞馬遜先後採納了無口令標準。
FIDO是旨在讓全世界摒棄口令的行業聯盟,想要將其身份認證協議推向歐洲,成為事實上的全球標準,而且 FIDO 2.0 非常適合GDPR和PSD2的監管要求。
FIDO(線上快速身份認證)聯盟於2012年由PayPal和聯想共同創立,尋求解決強身份認證技術之間缺乏互操作性的問題。其最終目標是通過在用戶設備和用戶本身上存儲所有憑證,讓服務可以安全而私密地訪問這些憑證,從而完全摒棄掉對口令需求。
那麼,FIDO為什麼反對使用口令呢? 簡單講,因為口令很容易大規模被盜。可以通過網絡釣魚和社會工程偷取口令,且口令往往成千上萬地集中存儲在服務器上特容易被連鍋端。黑客可以下載口令數據庫,然後暴力破解掉這些加鹽散列的口令。因為大部分口令都是短小而簡單的,暴力破解往往非常有效。
2016年數據洩露事件中81%涉及弱口令、默認口令或被盜口令。更糟糕的是,2016到2017年間,數據洩露事件暴漲45%。最糟的是,僅1/20的公司企業使用了“高安全等級”的強身份認證——通常指的是利用公鑰加密體制和生物特徵識別的多因子身份認證系統。
多因子身份認證(MFA)系統面世已經有段時間了,通過短信發送的一次性密碼(OTP)、谷歌身份認證器Authenticator之類的App,還有各種令牌和安全密鑰,都屬於MFA的範疇。但所有這些方法都有各自的缺點。短信擋不住網絡釣魚,七號信令(SS7)也不再被建議使用,其他雖然比較健壯,但往往被人們因貪圖便利而偷懶繞過。
FIDO 2.0是今年4月發佈的開放身份認證標準集,融合了W3C的網頁身份認證規範(WebAuthn)和FIDO相應的客戶端到認證器協議(CTAP)——監管智能手機等設備上安全憑證的協議。
WebAuthn是能被置入瀏覽器中的標準網頁API。5月底谷歌發佈了其最新版Chrome瀏覽器,原生支持WebAuthn,無需再安裝插件。Firefox和Opera也支持 FIDO 2.0 標準,而微軟將在9月在 Windows 10 中支持 FIDO 2.0 ,包括 Windows Hello 生物特徵識別認證器和Edge。
FIDO首席營銷官 Andrew Shikiar 稱:“老實說,這就是個遊戲規則改變者。Windows 10 對 FIDO 2.0 的原生支持改變了一切,打開了企業部署 FIDO 2.0 的大門。”
同時,Windows 10 機器還是服務提供商觸及消費者的巨大市場空間。
另外,giant開放標準還應減輕需提供身份認證功能的網頁App開發者的負擔。
WebAuthn只是一個 JavaScript API。其文檔完備,現在非常易於往網站上添加身份認證。
支持 FIDO 2.0 的瀏覽器和操作系統列表中缺了蘋果(安卓很快也將支持 FIDO 2.0 )。儘管該公司參與了WebAuthn工作組,但其瀏覽器Safari卻不支持該標準,或許是因為蘋果有它自己的標準吧。作為生物特徵識別領域中的領頭羊,蘋果推出了 Touch ID 和 Face ID,該公司可能更想繼續深耕自己的強項。
但FIDO不希望漏掉蘋果,他們認為身份認證不是一個差異化競爭的領域,應商品化和規範化。
CTAP能讓智能手機或FIDO安全密鑰之類的外部設備與WebAuthn協同工作,作為桌面App和網頁服務的身份認證器。這方面,主流設備供應商紛紛給予了支持,包括主要供應商Yubico、ePass、Feitien和HID,半導體公司Infineon,以及統一了各種FIDO標準( FIDO 2.0 、U2F、UAF)的 Nok Nok 實驗室通用服務器。
任何開放標準的最終目標都是泛在。除了蘋果,FIDO標準得到了廣泛的支持,谷歌、Dropbox、PayPal、VISA,還有最近加入的Facebook、亞馬遜等很多全球知名企業。但FIDO標準的觸角還需更加擴展。對FIDO標準的採納目前來講是美國和東亞國家最為積極。82%的韓國銀行都使用FIDO,而像中國這種“移動端發展快速”的國家,更是極為熱誠的採納者。
歐洲相對而言更為鬆懈。去年FIDO聯盟才成立了其歐洲工作組,由金雅拓公司和荷蘭國際集團銀行的高管們共同領導,推進FIDO在歐洲的採用。
歐洲和FIDO之間在監管方面相容性非常好。FIDO標準是去中心化的,生物特徵從不離開設備。而GDPR將生物特徵定為敏感數據,所以
FIDO標準從設計上就是符合GDPR隱私要求的。另一個重要立法,是(PSD2)開放銀行業監管,及其對強客戶身份認證(SCA)的需求。
這就宣告口令的末日了嗎?還沒有。過渡方案將會持續一段時間,可能會是很多年。而FIDO則會致力於讓多因子身份認證技術更便於使用,讓越來越多的服務採用MFA,以此來減少對口令的依賴。
閱讀更多 安全牛 的文章
