設備廠商組建FIDO認證聯盟，密碼被盜問題將不復存在

svcscgba

一項即將出台的新標準將使手機、電腦廠商有機會消滅用戶密碼被盜問題。
雖然我們的生活中充滿了各種密碼，但是用來保護網絡帳號卻並不安全。消滅密碼或者減少密碼的使用，將大大提高互聯網的安全係數。
目前，由PayPal和聯想等公司聯合成立的「FIDO聯盟」發佈了一系列技術標準，將有效降低人們對密碼的依賴程度，讓網絡帳號安全更上一個台階。
根據FIDO聯盟的標準，採用物理密令的方法來登陸帳戶，在密碼的驗證過程中，密令設備將起到更加關鍵的作用。FIDO聯盟首席信息安全官員Michael Barrett說：「消費者的密碼憑證可以通過猜測、網絡盜取信用證書、網絡釣魚等技術手段獲得。FIDO聯盟的出現至關重要，因為FIDO則將用戶至關重要的密碼憑證儲存在設備中，使網絡犯罪者更難得到這些信息，更難開展網絡犯罪。」
加入FIDO聯盟之後，電腦和手機廠商將在其設備中植入一顆安全芯片（而現在的絕大部分電腦都內置該芯片），保證用戶的帳號、信息安全，個人用戶也可以購買採取相應技術的硬件設備，比如說指紋識別器。Barrett說，採取這種公開標準，任何公司都可以來使用並銷售符合標準的設備，這樣可以擴大新安全技術的使用範圍，逐漸取代「密碼」在個人帳戶安全領域的地位。

加入FIDO聯盟的企業可以選擇一二級密碼或者徹底拋棄密碼。Nok Nok實驗室總裁Phil Dunkerberger說：「（有了FIDO標準）終於可以擺脫糾纏了我們幾十年的密碼了。」Nok Nok實驗室最近融資1500萬美元，開發出符合FIDO認證標準的安全軟件。
FIDO聯盟的一個目標就是更好地利用電腦硬件中已經自帶但是很少使用的安全設備。絕大部分桌面電腦、筆記本電腦和少數平板電腦都搭載有一顆專門用來進行身份識別的TPM芯片。FIDO標準還允許手機製造商用NFC技術來達到TPM芯片相應的功能。據了解，ARM和Intel公司都有醫院在未來為手機和平板電腦開發類似於TPM的技術。
安全專家曾一再強調雙重認證（即第一步為傳統密碼，第二部為物理設備認證）的重要性，但是還是很少有用戶會使用這樣的驗證步驟，只有遊戲玩家、銀行、大公司會採取雙重認證的方法。像Google、Dropbox、Facebook等企業都提供雙重認證措施，但是只有極小部分的用戶會使用。
企業如果要使用FIDO認證方式，只需要在服務器上安裝驗證軟件，然後在客戶和員工電腦上安裝插件，或者在手機上安裝企業應用程序即可。
FIDO認證在驗證用戶身份時也更安全。傳統的驗證方法，需要客戶端發送密碼到遠程服務器的密碼庫中進行比對，但是存在被攔截和破解的風險。而且密碼儲存在同一個遠程服務器上，如果超級管理員帳號被盜，那麼損失的不只是一個用戶的密碼。上個月Twitter密碼被盜事件，就是如此。
在FIDO的認證過程中，任何密碼都不會被發送出去，而是在手機、電腦的軟件中處理。驗證通過後，軟件發送密鑰到登錄服務器，不保存任何登陸信息。與此同時，登陸服務器發送密鑰到用戶設備告知其「已經通過認證」。
FIDO聯盟的聯合創始人之一Ramesh Kesanupalli說，「所有密碼均在一個設備中處理，如果黑客要盜取密碼，就得把設備偷走。」
FIDO認證標準的出台已經吸引了黑客的注意。根據調查公司IDC的信息顯示，「這麼一個大的系統，肯定會吸引無數黑客來尋找漏洞。一旦被攻破一次，FIDO系統就完了。」
為了形成足夠大的影響力，FIDO還需要更多企業的加盟。「PayPal的加盟，將給FIDO帶來足夠的關注度。」目前FIDO聯盟主要在討論技術問題，有關如何商用將在未來進行討論。
文章來源：TechnologyReview

一心

這樣的貼子，不頂說不過去啊

appson

說的不錯

Disy

哈哈，看的人少，回一下

michael.huang

這年頭，分不好賺啊

一心

我不是隨便的人。我隨便起來不是人

appson

拿把椅子看表演

我不是傻鴨

先占個位置，記錄這個好帖子

小妖怪

頂你一下，好帖要頂！

Tung8887

潛水值看滿囉，回覆一下