本专栏可在名为“IT最佳实践”的每周时事通讯中获得。点击这里订阅。
对于许多安全专业人士来说,密码是认证世界的祸害,它们的死亡来得太快了。密码经常被窃取、共享、遗忘,或者只是太弱或太明显而不能起作用。根据2016年Verizon数据泄露调查报告,63%的数据泄露涉及使用弱密码、默认密码或被盗密码。
最终用户也讨厌密码,因为他们创造了一个糟糕的用户体验(UX)。我们被建议(或强制)使用实际上不可能记住的复杂数字,字符和符号组合,并且我们应该为我们使用的每个系统和应用程序都有不同的密码。多年前我诉诸密码经理,以跟踪我的300多套凭据。
几乎所有形式的在线或移动业务交易都取决于登录的最终用户的绝对值得信赖的认证。银行,股票交易,电子付款,电子商务,企业应用程序和开启和开关。拥有和操作此类应用程序的公司希望比用户名和密码等简单凭据更强大的身份验证。
一些公司,尤其是金融机构,已经开发了自己的身份验证流程来超越密码。他们在孤岛上独立工作,这意味着最终用户 - 客户 - 在从一家公司到下一家公司的应用程序中都有不同的经验。
这Fido(快速身份在线)联盟该公司成立于2012年,旨在解决强大认证设备之间缺乏互操作性的问题,以及用户创建和记住多个用户名和密码所面临的问题。如今,该联盟拥有150多个成员,代表认证过程的各个方面,包括软件公司、互联网服务、组件和设备供应商、安全专家和金融机构。
联盟的一个关键成就是2014年发布的两组规范,定义了依赖密码的开放,可扩展,可互操作的机制集,以便安全地验证在线服务的用户。
第一个规范是基于通用认证框架(Universal Authentication Framework, UAF)协议的无密码UX。在这种体验中,用户通过选择本地认证机制,如滑动手指(即生物识别)、看相机(即自拍)、对着麦克风说话、输入个人识别码等,将设备注册到在线服务中。UAF协议允许服务选择将哪些机制呈现给用户。
一旦注册,用户只需在需要向服务进行身份验证时重复本地身份验证操作。用户从该设备进行身份验证时不再需要输入密码。UAF还允许结合指纹+ PIN等多种身份验证机制的体验。
第二个FIDO规范是由通用第二因子(U2F)协议支持的第二因子UX。此经验允许在线服务通过向用户登录添加强度的第二个因素来增强其现有密码基础架构的安全性。用户使用用户名和密码登录。该服务还可以提示用户在选择的任何时间呈现第二因子设备。强的第二个因子允许服务在不影响安全性的情况下简化其密码(例如4位PIN)。
在注册和认证期间,用户通过简单地按USB设备上的按钮或通过NFC攻丝来介绍第二因素。用户可以在支持Web浏览器中利用内置支持的协议的所有在线服务中使用它们的Fido U2F设备。
任何设备制造商、软件开发商或在线服务提供商都可以在其现有产品和服务中构建对FIDO协议的支持,为用户提供更简单、更强大的在线认证。通过全球标准化,狗生态系统可以通过增长和规模的“网络效应”,任何新实现的标准将能够立即进行互操作与其他设备之间实现不需要任何预定义的安排开发人员和服务提供者。
这是它的工作原理。FIDO协议使用标准的公钥加密技术来提供更强的身份验证。在使用在线服务注册期间 - 例如,使用银行或电子商务公司 - 用户的客户端设备创建一个新密钥对。设备保留私钥并使用在线服务注册公钥。通过签署挑战,通过签署私人密钥的客户端设备来完成身份验证。只有在用户在设备上本地解锁后,才能使用客户端的私钥。本地解锁是通过用户友好的和安全的动作完成的,例如读取生物识别,进入引脚,进入麦克风,插入第二因子设备或按下按钮。
FIDO协议是为了保护用户隐私而设计的。协议没有提供可由不同在线服务用于跨服务协作和跟踪用户的信息。生物特征信息,如果使用,永远不会离开用户的设备。
FIDO的主要设计原则之一是实现令人满意的用户体验,这意味着身份验证必须易于使用,同时提供强大的安全性。实现易用性的一种方法是,在完成对每个服务的初始注册后,在多个服务之间无缝地使用相同的认证因素——例如,生物识别传感器。
到目前为止,金融服务业的Fido议定书一直领导,特别是对于移动支付和网上银行等申请。企业组织还可以从部署Fido身份验证以获得其在线应用程序,主要是通过消除昂贵的硬件令牌的需求和最终用户忘记和重置密码的支持成本。
有关FIDO联盟及其认证协议的更多信息,请访问https://fidoalliance.org/。