當應用程序或瀏覽器不再使用用戶名和密碼的登錄方式時,盜號、撞庫的數據洩露現狀是否會有所好轉?
日前,於巴薩羅那召開的世界移動通信大會(Mobile World Congress,簡稱 MWC)上,Google 和線上快速身份驗證聯盟(Fast Identity Online,簡稱 FIDO 聯盟)宣佈達成合作,即 Android 正式取得 FIDO 2 認證,可實現無密碼登錄體驗,這意味著未來將會有 10 億臺 Android 設備不再需要輸入密碼就可登陸 App 或者網站。
FIDO 2 標準的誕生
對於 FIDO 聯盟,想必不少開發者也並不陌生,其成立自 2012 年 7 月,旨在為解決強制認證設備的交互性和用戶面臨大量複雜的用戶名和密碼問題。
FIDO 聯盟於去年正式對外發布的 FIDO 2 標準是由 W3C 的 Web 身份驗證規範(WebAuthn)和 FIDO 相應的客戶端到身份驗證協議(CTAP)組成,可使用戶能夠利用常用設備輕鬆地在移動和桌面環境中對在線服務進行身份驗證。
WebAuthn 和 CTAP 工作流
其中,WebAuthn 定義了一個標準的 Web API,通過將 API 接入瀏覽器以及相關 Web 平臺上,使得在線服務可以調用 FIDO 身份驗證。而 CTAP 協議可以讓外部設備(如移動設備、USB、FIDO 安全密鑰)能夠與 WebAuthn 配合使用,並充當桌面應用程序和 Web 服務的身份驗證器。
簡單來說,使用 FIDO 2 標準,可以在設備上通過使用指紋、刷臉、瞳孔等生物識別技術或搭配 USB 令牌即可完成個人身份驗證,而無需使用冗長且繁瑣的密碼。此外,本次 Google 與 FIDO 聯盟達成的合作中還包括通過 PIN 碼和點線圖驗證, 讓沒有指紋識別模塊的設備也可以驗證。
目前,Google Chrome、微軟 Edge、Mozilla Firefox 三大瀏覽器都已支持了 FIDO 2 認證,蘋果的 Safari 瀏覽器也將其作為實驗性功能正在測試中。此外,FIDO 聯盟的成員還包括 Facebook、GitHub、Dropbox、eBay 等主流公司及平臺。
密碼的消亡
而之所以會有這種方式的出現,主要還是因為當前的密碼登錄方式已經完全無法滿足大數據時代的安全性需求。現實來看,去年 3 月,Facebook 因
洩露門事件
導致 5000 萬用戶數據被竊取;6 月,彈幕網站鼻祖 A 站受黑客攻擊,包含用戶 ID、用戶暱稱、加密存儲的密碼的近千萬條用戶數據外洩;12 月,有網友爆料,陌陌3000 萬條數據在暗網出售...... 這些隨時發生的事件也無時無刻不在提醒著我們,「世上沒有不透風的牆」,且根據中國消費者協會的發佈的《App 個人信息洩露情況調查報告》顯示,中國 85.2% 的 App 用戶曾遭遇數據洩露。事實上,市面中不少應用程序進行的身份驗證,採取的還是基於共享密鑰的方式,即服務器端和用戶共同擁有一個或一組密碼。在用戶進行身份驗證時,用戶輸入密碼和服務器端進行匹配,若一致,則判定用戶為合法用戶。但殊不知這種方式,極為容易受到黑客攻擊,雖然不少企業也採取了加密算法措施,但還是難以避免數據洩露事件的發生。
如今 FIDO 2 標準的落地,規定了用戶的數據即生物識別或 PIN 碼可以在本地進行身份驗證,因此不會將私人信息傳輸到用戶登錄的應用和服務,這樣網站通過相關標準的參數在不直接接觸數據的前提可以完成用戶身份驗證,極大地提高了數據的安全性。
寫在最後
如今 Android 7 及以上版本均獲得了 FIDO 2 的認證,密碼的登錄方式顯然終將會被逐漸淘汰。在此值得注意的是,只有當開發者在 Web 應用程序和登錄頁面中添加無密碼身份驗證,並通過 Android 系統中 Google Play Service 才可以快速獲得此新功能。當前國內如支付寶、京東支付等主流應用均也已加入了 FIDO 標準,但是想要讓所有的應用及國內的瀏覽器都能實現無密碼登錄,可能還需要等待一定的時間。
參考:
https://fidoalliance.org/fido2/
https://www.theverge.com/2019/2/25/18239389/android-7-update-fido-alliance-fido2-password-free-authentication
閱讀更多 CSDN 的文章
