免輸密碼不是夢,新版Android已支援FIDO2標準

Editor發表於2019-02-27

谷歌剛剛宣佈了與FIDO 聯盟達成的最新合作,為 Android 使用者帶來了無需密碼、即可登入網站或應用的便捷選項。這項服務基於 FIDO2 標準實現,任何執行 Android 7.0 及後續版本的裝置,都可以在升級最新版 Google Play 服務後,通過指紋或 PIN 碼來登入常用的應用或網站。


儘管定期更換複雜密碼是保證賬戶安全的一個有效途徑,但它們通常冗長且難以記憶(除非你使用統一的密碼管理器)。


此外,雙因素認證也是一個實用的選項,只是用起來可能較為繁瑣,尤其是經常需要滿世界跑的人們。


好訊息是,得益於谷歌與FIDO 聯盟達成的這項最新合作,我們有望迎來更加安全、便捷的登入選項,比如通過難以竊取或複製的生物識別資料。


值得一提的是,FIDO2 標準還規定了對身份驗證資料進行本地處理,因此不會將任何私密資訊傳輸到服務端。


FIDO


FIDOAlliance,線上快速身份驗證聯盟(Fast IDentity Online Alliance),www.fidoalliance.org,成立於2012年7月,旨在解決強認證技術之間缺乏互操作性的問題,並致力於解決使用者在建立和記憶多個使用者名稱和密碼時遇到的問題。FIDO聯盟正在改變身份驗證的性質,採用更簡單、更強大的身份驗證標準,定義了一組開放、可擴充套件、可互操作的機制,以減少對密碼的依賴。在向線上服務進行身份驗證時,FIDO身份驗證功能更強大、更私密、更簡化。


免輸密碼不是夢,新版Android已支援FIDO2標準


FIDO2是一種新的身份驗證標準,包括W3C的WebAuthn及FIDO協會的CTAP (Client-to-Authenticator Protocol)規格,讓使用者在桌機或手機上透過支援的瀏覽器或是實體金鑰,不需輸入任何使用者帳號或密碼也可以完成Web服務的身份驗證。透過將驗證金鑰存放於晶片或Windows 10中的信賴平臺模組(trusted platform module,TPM),還有助於防止使用者誤上釣魚網站。


新的FIDO2規範在瀏覽器和作業系統中的標準化將進一步擴大FIDO身份驗證的範圍,FIDO身份 驗證被全球監管機構和標準制定機構引用,並通過Google、Facebook、NTTDOCOMO、美國銀行等企業所提供的服務,在全球範圍內用於數億臺裝置,使用者超過35億。新規範對現有的無密碼FIDO UAF和第二因素FIDO U2F用例進行了補充,並擴充套件了FIDO認證的可用性。FIDO2網路瀏覽器和線上服務完全向後相容所有之前獲得認證的FIDO安全金鑰。


早在2018年4月份,這項標準獲得微軟、Google及Facebook等大廠的支援。Google Chrome、Microsoft Edge及Mozilla Firefox都宣佈支援FIDO2,微軟也讓Windows Hello加入支援。


根據谷歌儀表板上的最新資料,全球約一半的 Android 裝置,已做好了對 FIDO 登入提供支援的準備。


免輸密碼不是夢,新版Android已支援FIDO2標準


FIDO2 專案帶來的益處


使用FIDO身份驗證器載入到裝置上的在瀏覽器中執行的Web應用程式,可以通過密碼操作代替密碼交換,或除了密碼交換之外,還可為服務提供者和使用者帶來諸多益處:


更簡單的身份驗證:


  • 使用者只需使用一種手勢登入。
  • PC、膝上型電腦和/或移動裝置中的內部或內建認證器(如指紋或面部生物識別技術)
  • 使用CTAP進行裝置到裝置認證的外部認證器(如安全金鑰和移動裝置),一個由FIDO聯盟開發的用於補充WebAuthn的外部認證器協議。



更強的身份驗證:


  • FIDO身份驗證比單純依賴密碼和相關身份驗證方式要強大得多,並具有以下優點。
  • 使用者證書和生物識別模板永遠不會離開使用者的裝置,也不會儲存在伺服器上。
  • 帳戶可以免受網路釣魚,中間人攻擊和使用被盜密碼的反覆攻擊。

開發人員可以開始在FIDO新的開發者資源頁面上建立利用FIDO身份驗證的應用程式和服務。


谷歌身份安全產品經理Christian Brand 表示:這項技術有一個經常被忽視的要點 —— 不允許使用者使用生物識別技術登入。


如果你的裝置未配備指紋感測器,Android 也允許通過其它方式(PIN 碼或點線圖)進行身份驗證。實際上,以移動網銀為主的許多 App(以及Chrome、Edge、Firefox等現代瀏覽器),都已經支援類似的便捷登入功能(點線圖、掃臉、或指紋登入)。


儘管當前並非所有 App/ 服務提供商都支援 FIDO 登入,但只要開發者有心,都可以藉助相關 API 來提供支援。


參考來源:

  • w3.org
  • 財經頭條
  • 阿里雲


更多資訊:

相關文章