一项即将出台的新标准将使手机、电脑厂商有机会消灭用户密码被盗问题。虽然我们的生活中充满了各种密码,但是用来保护网络帐号却并不安全。消灭密码或者减少密码的使用,将大大提高互联网的安全系数。
目前,由PayPal和联想等公司联合成立的“FIDO联盟”发布了一系列技术标准,将有效降低人们对密码的依赖程度,让网络帐号安全更上一个台阶。 根 据FIDO联盟的标准,采用物理密令的方法来登陆帐户,在密码的验证过程中,密令设备将起到更加关键的作用。FIDO联盟首席信息安全官员Michael Barrett说:“消费者的密码凭证可以通过猜测、网络盗取信用证书、网络钓鱼等技术手段获得。FIDO联盟的出现至关重要,因为FIDO则将用户至关 重要的密码凭证储存在设备中,使网络犯罪者更难得到这些信息,更难开展网络犯罪。” 加入FIDO联盟之后,电脑和手机厂 商将在其设备中植入一颗安全芯片(而现在的绝大部分电脑都内置该芯片),保证用户的帐号、信息安全,个人用户也可以购买采取相应技术的硬件设备,比如说指 纹识别器。Barrett说,采取这种公开标准,任何公司都可以来使用并销售符合标准的设备,这样可以扩大新安全技术的使用范围,逐渐取代“密码”在个人 帐户安全领域的地位。 加入FIDO联盟的企业可以选择一二级密码或者彻底抛弃密码。Nok Nok实验室总裁Phil Dunkerberger说:“(有了FIDO标准)终于可以摆脱纠缠了我们几十年的密码了。”Nok Nok实验室最近融资1500万美元,开发出符合FIDO认证标准的安全软件。 FIDO联盟的一个目标就是更好地利用电 脑硬件中已经自带但是很少使用的安全设备。绝大部分桌面电脑、笔记本电脑和少数平板电脑都搭载有一颗专门用来进行身份识别的TPM芯片。FIDO标准还允 许手机制造商用NFC技术来达到TPM芯片相应的功能。据了解,ARM和Intel公司都有医院在未来为手机和平板电脑开发类似于TPM的技术。 安 全专家曾一再强调双重认证(即第一步为传统密码,第二部为物理设备认证)的重要性,但是还是很少有用户会使用这样的验证步骤,只有游戏玩家、银行、大公司 会采取双重认证的方法。像Google、Dropbox、Facebook等企业都提供双重认证措施,但是只有极小部分的用户会使用。 企业如果要使用FIDO认证方式,只需要在服务器上安装验证软件,然后在客户和员工电脑上安装插件,或者在手机上安装企业应用程序即可。 FIDO 认证在验证用户身份时也更安全。传统的验证方法,需要客户端发送密码到远程服务器的密码库中进行比对,但是存在被拦截和破解的风险。而且密码储存在同一个 远程服务器上,如果超级管理员帐号被盗,那么损失的不只是一个用户的密码。上个月Twitter密码被盗事件,就是如此。 在FIDO的认证过程中,任何密码都不会被发送出去,而是在手机、电脑的软件中处理。验证通过后,软件发送密钥到登录服务器,不保存任何登陆信息。与此同时,登陆服务器发送密钥到用户设备告知其“已经通过认证”。 FIDO联盟的联合创始人之一Ramesh Kesanupalli说,“所有密码均在一个设备中处理,如果黑客要盗取密码,就得把设备偷走。” FIDO认证标准的出台已经吸引了黑客的注意。根据调查公司IDC的信息显示,“这么一个大的系统,肯定会吸引无数黑客来寻找漏洞。一旦被攻破一次,FIDO系统就完了。” 为了形成足够大的影响力,FIDO还需要更多企业的加盟。“PayPal的加盟,将给FIDO带来足够的关注度。”目前FIDO联盟主要在讨论技术问题,有关如何商用将在未来进行讨论。
|