安卓獲得FIDO2認證:口令驗證要消亡?
責編:gltian |2019-03-06 13:48:12安卓(Android)已添加對FIDO2標準的認證,這意味著搭載Android7以上版本的設備將支持安全無口令登錄(Iogin)方式,身份認證的“口令時代”將逐漸成為歷史。
谷歌本周表示,此舉意味著網絡開發人員也可以設計自己的網站,以便與Android的FIDO2管理基礎設施進行交互。
目前,Chrome,Microsoft Edge和Firefox都已支持FIDO2認證,Safari也將其作為實驗性功能正在測試中。此外,FIDO聯盟的成員還包括 Facebook、GitHub、Dropbox、eBay等主流公司及平臺。
FIDO(快速身份識別在線)聯盟成立于2012年,旨在解決用戶在上網時被迫管理多口令的問題。
當前的密碼登錄方式已經無法滿足大數據時代的安全性需求。不法分子在暗網上大量兜售用戶名和密碼,直接導致用戶隱私數據的不斷泄露。FIDO希望將互聯網轉向一種新的身份認證方式,即使用生物特征和硬件加密狗(dongle)的方式,而不是口令來進行身份認證。
谷歌產品經理克里斯蒂安?布蘭德(Christiaan Brand)在一篇新聞稿中評論道:
為了讓FIDO2協議更加標準化,谷歌長期以來一直與FIDO聯盟和W3C合作。任何應用程序都可在不使用口令認證的同時對抗釣魚攻擊。
獲得FIDO2認證,有助于為我們為合作伙伴和開發人員提供一種標準化方式,跨設備的訪問的安全密鑰庫,無論是市場上已有還是未推出的模型,都可以在FIDO2的基礎上為用戶構建便利的生物特征控制手段。
圖片來源:FIDO聯盟
FIDO2在設計之初就是由平臺實現的新產品
從設計的第一天起,FIDO2就是要由我們平時生活中接觸的平臺來實現的。比如我么每天使用的瀏覽器、設備和服務。讓FIDO無處不在是我們的最終目標。谷歌發布的這條心消息,意味著使用FIDO身份認證服務的用戶數量會急劇增長。與支持FIDO2的瀏覽器一起,現在是時候讓網站開發人員通過集成FIDO認證,從口令的風險中解放他們的用戶。
FIDO2標準是由W3C的Web身份驗證規范(WebAuthn)和FIDO的客戶端到認證器協議(CTAP)。這些計劃共同創建了一個兼容設備的生態系統,可使用戶利用常用設備輕松地在移動和桌面環境中對進行在線服務的身份認證。
通過構建一個標準的Web API,開發人員可以啟動無密碼訪問來抵御網絡釣魚和憑證填充攻擊。Android已經為移動應用提供了安全的FIDO登錄選項。對FIDO2的支持,使得在移動設備的瀏覽器中使用基于FIDO的身份認證服務成為可能。
