設(shè)備廠商組建FIDO認(rèn)證聯(lián)盟,密碼被盜問(wèn)題將不復(fù)存在

0 評(píng)論 1687 瀏覽 1 收藏 6 分鐘

一項(xiàng)即將出臺(tái)的新標(biāo)準(zhǔn)將使手機(jī)、電腦廠商有機(jī)會(huì)消滅用戶密碼被盜問(wèn)題。

雖然我們的生活中充滿了各種密碼,但是用來(lái)保護(hù)網(wǎng)絡(luò)帳號(hào)卻并不安全。消滅密碼或者減少密碼的使用,將大大提高互聯(lián)網(wǎng)的安全系數(shù)。

目前,由PayPal和聯(lián)想等公司聯(lián)合成立的“FIDO聯(lián)盟”發(fā)布了一系列技術(shù)標(biāo)準(zhǔn),將有效降低人們對(duì)密碼的依賴(lài)程度,讓網(wǎng)絡(luò)帳號(hào)安全更上一個(gè)臺(tái)階。

根據(jù)FIDO聯(lián)盟的標(biāo)準(zhǔn),采用物理密令的方法來(lái)登陸帳戶,在密碼的驗(yàn)證過(guò)程中,密令設(shè)備將起到更加關(guān)鍵的作用。FIDO聯(lián)盟首席信息安全官員Michael Barrett說(shuō):“消費(fèi)者的密碼憑證可以通過(guò)猜測(cè)、網(wǎng)絡(luò)盜取信用證書(shū)、網(wǎng)絡(luò)釣魚(yú)等技術(shù)手段獲得。FIDO聯(lián)盟的出現(xiàn)至關(guān)重要,因?yàn)镕IDO則將用戶至關(guān)重要的密碼憑證儲(chǔ)存在設(shè)備中,使網(wǎng)絡(luò)犯罪者更難得到這些信息,更難開(kāi)展網(wǎng)絡(luò)犯罪?!?/p>

加入FIDO聯(lián)盟之后,電腦和手機(jī)廠商將在其設(shè)備中植入一顆安全芯片(而現(xiàn)在的絕大部分電腦都內(nèi)置該芯片),保證用戶的帳號(hào)、信息安全,個(gè)人用戶也可以購(gòu)買(mǎi)采取相應(yīng)技術(shù)的硬件設(shè)備,比如說(shuō)指紋識(shí)別器。Barrett說(shuō),采取這種公開(kāi)標(biāo)準(zhǔn),任何公司都可以來(lái)使用并銷(xiāo)售符合標(biāo)準(zhǔn)的設(shè)備,這樣可以擴(kuò)大新安全技術(shù)的使用范圍,逐漸取代“密碼”在個(gè)人帳戶安全領(lǐng)域的地位。

加入FIDO聯(lián)盟的企業(yè)可以選擇一二級(jí)密碼或者徹底拋棄密碼。Nok Nok實(shí)驗(yàn)室總裁Phil Dunkerberger說(shuō):“(有了FIDO標(biāo)準(zhǔn))終于可以擺脫糾纏了我們幾十年的密碼了?!盢ok Nok實(shí)驗(yàn)室最近融資1500萬(wàn)美元,開(kāi)發(fā)出符合FIDO認(rèn)證標(biāo)準(zhǔn)的安全軟件。

FIDO聯(lián)盟的一個(gè)目標(biāo)就是更好地利用電腦硬件中已經(jīng)自帶但是很少使用的安全設(shè)備。絕大部分桌面電腦、筆記本電腦和少數(shù)平板電腦都搭載有一顆專(zhuān)門(mén)用來(lái)進(jìn)行身份識(shí)別的TPM芯片。FIDO標(biāo)準(zhǔn)還允許手機(jī)制造商用NFC技術(shù)來(lái)達(dá)到TPM芯片相應(yīng)的功能。據(jù)了解,ARM和Intel公司都有醫(yī)院在未來(lái)為手機(jī)和平板電腦開(kāi)發(fā)類(lèi)似于TPM的技術(shù)。

安全專(zhuān)家曾一再?gòu)?qiáng)調(diào)雙重認(rèn)證(即第一步為傳統(tǒng)密碼,第二部為物理設(shè)備認(rèn)證)的重要性,但是還是很少有用戶會(huì)使用這樣的驗(yàn)證步驟,只有游戲玩家、銀行、大公司會(huì)采取雙重認(rèn)證的方法。像Google、Dropbox、Facebook等企業(yè)都提供雙重認(rèn)證措施,但是只有極小部分的用戶會(huì)使用。

企業(yè)如果要使用FIDO認(rèn)證方式,只需要在服務(wù)器上安裝驗(yàn)證軟件,然后在客戶和員工電腦上安裝插件,或者在手機(jī)上安裝企業(yè)應(yīng)用程序即可。

FIDO認(rèn)證在驗(yàn)證用戶身份時(shí)也更安全。傳統(tǒng)的驗(yàn)證方法,需要客戶端發(fā)送密碼到遠(yuǎn)程服務(wù)器的密碼庫(kù)中進(jìn)行比對(duì),但是存在被攔截和破解的風(fēng)險(xiǎn)。而且密碼儲(chǔ)存在同一個(gè)遠(yuǎn)程服務(wù)器上,如果超級(jí)管理員帳號(hào)被盜,那么損失的不只是一個(gè)用戶的密碼。上個(gè)月Twitter密碼被盜事件,就是如此。

在FIDO的認(rèn)證過(guò)程中,任何密碼都不會(huì)被發(fā)送出去,而是在手機(jī)、電腦的軟件中處理。驗(yàn)證通過(guò)后,軟件發(fā)送密鑰到登錄服務(wù)器,不保存任何登陸信息。與此同時(shí),登陸服務(wù)器發(fā)送密鑰到用戶設(shè)備告知其“已經(jīng)通過(guò)認(rèn)證”。

FIDO聯(lián)盟的聯(lián)合創(chuàng)始人之一Ramesh Kesanupalli說(shuō),“所有密碼均在一個(gè)設(shè)備中處理,如果黑客要盜取密碼,就得把設(shè)備偷走?!?/p>

FIDO認(rèn)證標(biāo)準(zhǔn)的出臺(tái)已經(jīng)吸引了黑客的注意。根據(jù)調(diào)查公司IDC的信息顯示,“這么一個(gè)大的系統(tǒng),肯定會(huì)吸引無(wú)數(shù)黑客來(lái)尋找漏洞。一旦被攻破一次,F(xiàn)IDO系統(tǒng)就完了?!?/p>

為了形成足夠大的影響力,F(xiàn)IDO還需要更多企業(yè)的加盟?!癙ayPal的加盟,將給FIDO帶來(lái)足夠的關(guān)注度。”目前FIDO聯(lián)盟主要在討論技術(shù)問(wèn)題,有關(guān)如何商用將在未來(lái)進(jìn)行討論。

文章來(lái)源:TechnologyReview

更多精彩內(nèi)容,請(qǐng)關(guān)注人人都是產(chǎn)品經(jīng)理微信公眾號(hào)或下載App
旺旺旺旺旺仔
一直很尊重奶茶,沒(méi)去冰,沒(méi)少糖,沒(méi)少喝。
4319篇作品 34184316總閱讀量
06-244772 瀏覽
如何以 API 方式快速接入多家洗滌品牌商家
06-251933 瀏覽
該讓東方甄選降降溫了
01-174562 瀏覽
2023年,自律軟件能不能給你打針雞血?
09-112550 瀏覽
產(chǎn)品經(jīng)理與其他團(tuán)隊(duì)成員的合作:溝通工具的選擇與應(yīng)用
03-234609 瀏覽
如何深入產(chǎn)品,建立一套完整的會(huì)員體系?
評(píng)論
評(píng)論請(qǐng)登錄
  1. 目前還沒(méi)評(píng)論,等你發(fā)揮!