一项即将出台的新标准将使手机、电脑厂商有机会消灭用户密码被盗问题。
虽然我们的生活中充满了各种密码,但是用来保护网络帐号却并不安全。消灭密码或者减少密码的使用,将大大提高互联网的安全系数。
目前,由PayPal和联想等公司联合成立的“FIDO联盟”发布了一系列技术标准,将有效降低人们对密码的依赖程度,让网络帐号安全更上一个台阶。
根据FIDO联盟的标准,采用物理密令的方法来登陆帐户,在密码的验证过程中,密令设备将起到更加关键的作用。FIDO联盟首席信息安全官员Michael Barrett说:“消费者的密码凭证可以通过猜测、网络盗取信用证书、网络钓鱼等技术手段获得。FIDO联盟的出现至关重要,因为FIDO则将用户至关重要的密码凭证储存在设备中,使网络犯罪者更难得到这些信息,更难开展网络犯罪。”
加入FIDO联盟之后,电脑和手机厂商将在其设备中植入一颗安全芯片(而现在的绝大部分电脑都内置该芯片),保证用户的帐号、信息安全,个人用户也可以购买采取相应技术的硬件设备,比如说指纹识别器。Barrett说,采取这种公开标准,任何公司都可以来使用并销售符合标准的设备,这样可以扩大新安全技术的使用范围,逐渐取代“密码”在个人帐户安全领域的地位。
加入FIDO联盟的企业可以选择一二级密码或者彻底抛弃密码。Nok Nok实验室总裁Phil Dunkerberger说:“(有了FIDO标准)终于可以摆脱纠缠了我们几十年的密码了。”Nok Nok实验室最近融资1500万美元,开发出符合FIDO认证标准的安全软件。
FIDO联盟的一个目标就是更好地利用电脑硬件中已经自带但是很少使用的安全设备。绝大部分桌面电脑、笔记本电脑和少数平板电脑都搭载有一颗专门用来进行身份识别的TPM芯片。FIDO标准还允许手机制造商用NFC技术来达到TPM芯片相应的功能。据了解,ARM和Intel公司都有医院在未来为手机和平板电脑开发类似于TPM的技术。
安全专家曾一再强调双重认证(即第一步为传统密码,第二部为物理设备认证)的重要性,但是还是很少有用户会使用这样的验证步骤,只有游戏玩家、银行、大公司会采取双重认证的方法。像Google、Dropbox、Facebook等企业都提供双重认证措施,但是只有极小部分的用户会使用。
企业如果要使用FIDO认证方式,只需要在服务器上安装验证软件,然后在客户和员工电脑上安装插件,或者在手机上安装企业应用程序即可。
FIDO认证在验证用户身份时也更安全。传统的验证方法,需要客户端发送密码到远程服务器的密码库中进行比对,但是存在被拦截和破解的风险。而且密码储存在同一个远程服务器上,如果超级管理员帐号被盗,那么损失的不只是一个用户的密码。上个月Twitter密码被盗事件,就是如此。
在FIDO的认证过程中,任何密码都不会被发送出去,而是在手机、电脑的软件中处理。验证通过后,软件发送密钥到登录服务器,不保存任何登陆信息。与此同时,登陆服务器发送密钥到用户设备告知其“已经通过认证”。
FIDO联盟的联合创始人之一Ramesh Kesanupalli说,“所有密码均在一个设备中处理,如果黑客要盗取密码,就得把设备偷走。”
FIDO认证标准的出台已经吸引了黑客的注意。根据调查公司IDC的信息显示,“这么一个大的系统,肯定会吸引无数黑客来寻找漏洞。一旦被攻破一次,FIDO系统就完了。”
为了形成足够大的影响力,FIDO还需要更多企业的加盟。“PayPal的加盟,将给FIDO带来足够的关注度。”目前FIDO联盟主要在讨论技术问题,有关如何商用将在未来进行讨论。