det365和万博

安卓获得FIDO2认证:口令验证要消亡?

作者:   深圳市网安计算机安全检测技术有限公司 2019/03/06 16:46:20 209次阅读 国际
文章来源:https://www.aqniu.com/news-views/44548.html

安卓(Android)已添加对FIDO2标准的认证,这意味着搭载Android7以上版本的设备将支持安全无口令登录(Iogin)方式,身份认证的“口令时代”将逐渐成为历史。

alt

谷歌本周表示,此举意味着网络开发人员也可以设计自己的网站,以便与Android的FIDO2管理基础设施进行交互。

目前,Chrome,Microsoft Edge和Firefox都已支持FIDO2认证,Safari也将其作为实验性功能正在测试中。此外,FIDO联盟的成员还包括 Facebook、GitHub、Dropbox、eBay等主流公司及平台。

FIDO(快速身份识别在线)联盟成立于2012年,旨在解决用户在上网时被迫管理多口令的问题。

当前的密码登录方式已经无法满足大数据时代的安全性需求。不法分子在暗网上大量兜售用户名和密码,直接导致用户隐私数据的不断泄露。FIDO希望将互联网转向一种新的身份认证方式,即使用生物特征和硬件加密狗(dongle)的方式,而不是口令来进行身份认证。

谷歌产品经理克里斯蒂安?布兰德(Christiaan Brand)在一篇新闻稿中评论道:

为了让FIDO2协议更加标准化,谷歌长期以来一直与FIDO联盟和W3C合作。任何应用程序都可在不使用口令认证的同时对抗钓鱼攻击。

获得FIDO2认证,有助于为我们为合作伙伴和开发人员提供一种标准化方式,跨设备的访问的安全密钥库,无论是市场上已有还是未推出的模型,都可以在FIDO2的基础上为用户构建便利的生物特征控制手段。

alt

图片来源:FIDO联盟

FIDO2在设计之初就是由平台实现的新产品

从设计的第一天起,FIDO2就是要由我们平时生活中接触的平台来实现的。比如我么每天使用的浏览器、设备和服务。让FIDO无处不在是我们的最终目标。谷歌发布的这条心消息,意味着使用FIDO身份认证服务的用户数量会急剧增长。与支持FIDO2的浏览器一起,现在是时候让网站开发人员通过集成FIDO认证,从口令的风险中解放他们的用户。

FIDO2标准是由W3C的Web身份验证规范(WebAuthn)和FIDO的客户端到认证器协议(CTAP)。这些计划共同创建了一个兼容设备的生态系统,可使用户利用常用设备轻松地在移动和桌面环境中对进行在线服务的身份认证。

通过构建一个标准的Web API,开发人员可以启动无密码访问来抵御网络钓鱼和凭证填充攻击。Android已经为移动应用提供了安全的FIDO登录选项。对FIDO2的支持,使得在移动设备的浏览器中使用基于FIDO的身份认证服务成为可能。

alt

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室