Yubikey CN

行业要闻 FIDO 新白皮书发布,多设备凭证有望真正迎来无密码时代

deepzz · 2022年07月06日 · 426 次阅读

“不用密码应该比使用密码更简单便捷。” ——FIDO 联盟执行董事 Andrew Shikiar

无密码认证” 近年频繁出现在公众视野中,但大家似乎并没有真切地感受到 “摆脱数字镣铐” 已近在眼前。然而,专门从事安全身份认证的 FIDO 联盟近日宣布,经过十年的砥砺研究,终于找到了缺失的那块 “拼图”。

2022 年 3 月,FIDO 联盟发布关于解决可用性问题的白皮书,阐述了 FIDO 如何解决这些一直困扰无密码功能实现以及广泛应用的问题。这份白皮书由 FIDO 成员共同编写制定,其中包括英特尔和高通等芯片制造商、亚马逊和 Meta 等知名平台开发商、美国运通和美国银行等金融机构,以及所有主要操作系统开发商,即谷歌、微软和苹果。

白皮书以概念性阐释为主,技术性内容较少。但经过多年的投入,FIDO2 以及 WebAuthn 无密码标准已经整合到 Windows、Android 以及 iOS 等系统中,现在一切都取决于下一步的成功落地。

“FIDO 成功的关键是实现随时随地可用,应该像密码一样无处不在,” FIDO 联盟执行董事 Andrew Shikiar 表示。“密码就像是网络的 DNA,而我们所做的就是力图取代密码。不用密码应该比使用密码更简单便捷。”

“FIDO 成功的关键是实现随时随地可用,应该像密码一样无处不在,” FIDO 联盟执行董事 Andrew Shikiar 表示。“密码就像是网络的 DNA,而我们所做的就是力图取代密码。不用密码应该比使用密码更简单便捷。”

不过,FIDO 还是希望能够找到无密码方案难以应对的症结所在。FIDO 认为,一切都归结于切换或添加设备的流程。如果设置新手机的流程过于复杂,无法以简便方式登录所有的应用程序和账户,或者用户不得不使用密码来重新建立起账户所有权,那么绝大多数用户肯定会因为麻烦的操作而打退堂鼓。

FIDO 无密码标准目前依靠设备的生物识别扫描器(或 master PIN)进行本地认证,任何数据都不会通过互联网传输到 web 服务器。FIDO 认为最终解决新设备问题的关键点在于操作系统要实现一个 “FIDO 凭证” 管理器,类似于内置的密码管理器。与密码管理器存储密码不同的是,“FIDO 凭证” 管理器存储可在不同设备间同步的加密密钥,并由设备的生物识别或密码锁进行保护。

在去年夏天的苹果世界开发者大会上,苹果公布了名为 “Passkeys in iCloud Keychain” 的功能,并表示该功能是苹果对于 “后密码世界的一大贡献”。

“Passkey 是 WebAuthn 凭证,具有 WebAuthn 标准提供的绝佳安全保障,同时结合了备份、同步以及在所有设备上工作的可用性。” Apple 工程师 Garrett Davidson 在六月的一次大会上分享道。“我们把 Passkey 存储在 iCloud Keychain。和 iCloud Keychain 中的其他内容一样,Passkey 都是端到端加密,所以就算是 Apple,也无法读取…而且,Passkey 也非常易于使用。大多数情况下,只需要轻触或点击即可登录。”

举个例子,你原来的苹果手机丢了然后新买了一部,那么数据传输就可以简单地通过苹果提供的流程进行。但如果是丢了 iPhone 然后想转到安卓系统,或者在其他两个数字生态系统之间转换,过程就没那么顺利了。但是,FIDO 白皮书中还另外包含了关于 FIDO 协议的拟议补充部分,可让用户现有的电脑等设备用作硬件令牌,如同独立的蓝牙身份验证保护装置,并通过蓝牙提供物理验证。其背后的想法是,由于蓝牙是一种基于邻近感应的协议,仍然可以达到防网络钓鱼的目的,并且可以根据需要成为开发不同版本的真正无密码方案(即无需备份密码)的有用工具。

“Passkey 是 WebAuthn 凭证,具有 WebAuthn 标准提供的绝佳安全保障,同时结合了备份、同步以及在所有设备上工作的可用性。” Apple 工程师 Garrett Davidson 在六月的一次大会上分享道。“我们把 Passkey 存储在 iCloud Keychain。和 iCloud Keychain 中的其他内容一样,Passkey 都是端到端加密,所以就算是 Apple,也无法读取…而且,Passkey 也非常易于使用。大多数情况下,只需要轻触或点击即可登录。”

举个例子,你原来的苹果手机丢了然后新买了一部,那么数据传输就可以简单地通过苹果提供的流程进行。但如果是丢了 iPhone 然后想转到安卓系统,或者在其他两个数字生态系统之间转换,过程就没那么顺利了。但是,FIDO 白皮书中还另外包含了关于 FIDO 协议的拟议补充部分,可让用户现有的电脑等设备用作硬件令牌,如同独立的蓝牙身份验证保护装置,并通过蓝牙提供物理验证。其背后的想法是,由于蓝牙是一种基于邻近感应的协议,仍然可以达到防网络钓鱼的目的,并且可以根据需要成为开发不同版本的真正无密码方案(即无需备份密码)的有用工具。

“Passkey 这样的方案可以发挥作用,而且比现在使用的密码更安全,” 约翰斯·霍普金斯大学密码学家 Matthew Green 说。“但是,如果设备间传输的用户界面在某些设备上效果不佳,那对于所有设备来说都是一样糟糕,依然会限制使用。”

经过近十载的努力,渴望从密码中解脱出来的人们现在只能将希望寄托于 FIDO,FIDO 俨然有了 “大而不倒” 的意味。当被问及无密码时代是否真正到来时,来自谷歌的 Brand 神情略显严肃,但却毫不犹豫地回答道:“我感觉一切都在蓄力凝结,不过这个过程应该会比较久。”

文章来源:https://www.wired.com/story/fido-alliance-ios-android-password-replacement/

暂无回复。
需要 登录 后方可回复, 如果你还没有账号请 注册新账号