口令末日即将到来 FIDO将其无口令标准推向欧洲

谷歌、Mozilla、微软、Facebook、亚马逊先后采纳了无口令标准。

QQ截图20180615133006

FIDO是旨在让全世界摒弃口令的行业联盟,想要将其身份认证协议推向欧洲,成为事实上的全球标准,而且 FIDO 2.0 非常适合GDPR和PSD2的监管要求。

FIDO(线上快速身份认证)联盟于2012年由PayPal和联想共同创立,寻求解决强身份认证技术之间缺乏互操作性的问题。其最终目标是通过在用户设备和用户本身上存储所有凭证,让服务可以安全而私密地访问这些凭证,从而完全摒弃掉对口令需求。

那么,FIDO为什么反对使用口令呢? 简单讲,因为口令很容易大规模被盗。可以通过网络钓鱼和社会工程偷取口令,且口令往往成千上万地集中存储在服务器上特容易被连锅端。黑客可以下载口令数据库,然后暴力破解掉这些加盐散列的口令。因为大部分口令都是短小而简单的,暴力破解往往非常有效。

2016年数据泄露事件中81%涉及弱口令、默认口令或被盗口令。更糟糕的是,2016到2017年间,数据泄露事件暴涨45%。最糟的是,仅1/20的公司企业使用了“高安全等级”的强身份认证——通常指的是利用公钥加密体制和生物特征识别的多因子身份认证系统。

多因子身份认证(MFA)系统面世已经有段时间了,通过短信发送的一次性密码(OTP)、谷歌身份认证器Authenticator之类的App,还有各种令牌和安全密钥,都属于MFA的范畴。但所有这些方法都有各自的缺点。短信挡不住网络钓鱼,七号信令(SS7)也不再被建议使用,其他虽然比较健壮,但往往被人们因贪图便利而偷懒绕过。

FIDO 2.0 是今年4月发布的开放身份认证标准集,融合了W3C的网页身份认证规范(WebAuthn)和FIDO相应的客户端到认证器协议(CTAP)——监管智能手机等设备上安全凭证的协议。

WebAuthn是能被置入浏览器中的标准网页API。5月底谷歌发布了其最新版Chrome浏览器,原生支持WebAuthn,无需再安装插件。Firefox和Opera也支持 FIDO 2.0 标准,而微软将在9月在 Windows 10 中支持 FIDO 2.0 ,包括 Windows Hello 生物特征识别认证器和Edge。

FIDO首席营销官 Andrew Shikiar 称:“老实说,这就是个游戏规则改变者。Windows 10 对 FIDO 2.0 的原生支持改变了一切,打开了企业部署 FIDO 2.0 的大门。”

同时,Windows 10 机器还是服务提供商触及消费者的巨大市场空间。

另外,giant开放标准还应减轻需提供身份认证功能的网页App开发者的负担。

WebAuthn只是一个 JavaScript API。其文档完备,现在非常易于往网站上添加身份认证。

支持 FIDO 2.0 的浏览器和操作系统列表中缺了苹果(安卓很快也将支持 FIDO 2.0 )。尽管该公司参与了WebAuthn工作组,但其浏览器Safari却不支持该标准,或许是因为苹果有它自己的标准吧。作为生物特征识别领域中的领头羊,苹果推出了 Touch ID 和 Face ID,该公司可能更想继续深耕自己的强项。

但FIDO不希望漏掉苹果,他们认为身份认证不是一个差异化竞争的领域,应商品化和规范化。

CTAP能让智能手机或FIDO安全密钥之类的外部设备与WebAuthn协同工作,作为桌面App和网页服务的身份认证器。这方面,主流设备供应商纷纷给予了支持,包括主要供应商Yubico、ePass、Feitien和HID,半导体公司Infineon,以及统一了各种FIDO标准( FIDO 2.0 、U2F、UAF)的 Nok Nok 实验室通用服务器。

任何开放标准的最终目标都是泛在。除了苹果,FIDO标准得到了广泛的支持,谷歌、Dropbox、PayPal、VISA,还有最近加入的Facebook、亚马逊等很多全球知名企业。但FIDO标准的触角还需更加扩展。对FIDO标准的采纳目前来讲是美国和东亚国家最为积极。82%的韩国银行都使用FIDO,而像中国这种“移动端发展快速”的国家,更是极为热诚的采纳者。

欧洲相对而言更为松懈。去年FIDO联盟才成立了其欧洲工作组,由金雅拓公司和荷兰国际集团银行的高管们共同领导,推进FIDO在欧洲的采用。

欧洲和FIDO之间在监管方面相容性非常好。FIDO标准是去中心化的,生物特征从不离开设备。而GDPR将生物特征定为敏感数据,所以FIDO标准从设计上就是符合GDPR隐私要求的。

另一个重要立法,是欧盟支付服务指令(PSD2)开放银行业监管,及其对强客户身份认证(SCA)的需求。

这就宣告口令的末日了吗?还没有。过渡方案将会持续一段时间,可能会是很多年。而FIDO则会致力于让多因子身份认证技术更便于使用,让越来越多的服务采用MFA,以此来减少对口令的依赖。

上一篇:数据库防火墙的正确打开方式

下一篇:用Punycode进行SMiShing(SMS网络钓鱼)