FIDO認(rèn)證簡(jiǎn)介

傳統(tǒng)的賬號(hào)認(rèn)證方式，不管是靜態(tài)密碼、證書(shū)、動(dòng)態(tài)令牌，都需要把用戶持有的憑證傳輸?shù)椒?wù)端進(jìn)行驗(yàn)證，就會(huì)存在各種各樣的風(fēng)險(xiǎn)來(lái)偽造用戶憑證來(lái)進(jìn)行攻擊。

根據(jù)LastPass的統(tǒng)計(jì)，平均每個(gè)企業(yè)用戶需要管理191個(gè)賬戶密碼！而Pew Research的統(tǒng)計(jì)表明，很少有人使用密碼管理器，在2017年只有12%的受訪者使用密碼管理器，甚至還有49%的受訪者把密碼寫(xiě)在紙上。難怪Verizon在《2018年數(shù)據(jù)泄露調(diào)查報(bào)告》指出，81.1%的數(shù)據(jù)泄露事件都是由密碼泄漏引起的。

為提高賬戶的安全性，對(duì)認(rèn)證的安全方式經(jīng)過(guò)三次進(jìn)化：

靜 態(tài) 密 碼 認(rèn) 證

我們與計(jì)算機(jī)密碼之間有著難以言說(shuō)的愛(ài)/恨關(guān)系。安全行業(yè)有一個(gè)共識(shí)：密碼終將會(huì)消失。但是從目前的情況來(lái)看，密碼的壽命還會(huì)很長(zhǎng)，甚至在數(shù)量上還有越來(lái)越多的趨勢(shì)。

靜態(tài)密碼是由用戶自己設(shè)定的，一些人為圖方便記憶，將密碼設(shè)置為生日或是純數(shù)字，結(jié)果遭遇不法分子的輕松破解。

接下來(lái)看一下靜態(tài)密碼的缺點(diǎn)：

1）靜態(tài)密碼的易用性和安全性互相排斥，兩者不能兼顧，簡(jiǎn)單容易記憶的密碼安全性弱，復(fù)雜的靜態(tài)密碼安全性高但是不易記憶和維護(hù);

2）靜態(tài)密碼安全性低，容易遭受各種形式的安全攻擊;

3）靜態(tài)密碼的風(fēng)險(xiǎn)成本高，一旦將可能造成的損失，而且在發(fā)生損失以前，通常不知道靜態(tài)密碼已經(jīng);

4）靜態(tài)密碼的使用和維護(hù)不便，特別一個(gè)用戶有幾個(gè)甚至十幾個(gè)靜態(tài)密碼需要使用和維護(hù)時(shí)，靜態(tài)密碼遺忘及遺忘以后所進(jìn)行的掛失、重置等操作通常需要花費(fèi)不少的時(shí)間和精力，非常影響正常的使用感受。

事實(shí)上靜態(tài)密碼已經(jīng)無(wú)法滿足我們的安全需求，所以想要保障自己的信息安全還是另尋他路吧！

2019年3月4日萬(wàn)維網(wǎng)聯(lián)盟（W3C）宣布：Web身份驗(yàn)證API（WebAuthn）現(xiàn)在已成為Web標(biāo)準(zhǔn)。

WebAuthn于2015年11月由W3C和Fido聯(lián)盟宣布，現(xiàn)已成為網(wǎng)上無(wú)密碼登錄的開(kāi)放標(biāo)準(zhǔn)。它由W3C貢獻(xiàn)者支持，包括Airbnb、阿里巴巴、蘋(píng)果、、IBM、英特爾、微軟、Mozilla、PayPal、軟銀、騰訊和Yubico。

該規(guī)范允許用戶使用生物特征、移動(dòng)設(shè)備或FIDO安全密鑰登錄在線帳戶。Android和Windows10已經(jīng)支持WebAuthn。在瀏覽器方面，Chrome、Mozilla Firefox和微軟Edge瀏覽器去年都開(kāi)始支持WebAuthn。

自去年12月以來(lái)，蘋(píng)果就在Safari的預(yù)覽版中支持WebAuthn。

FIDO認(rèn)證在整個(gè)身份協(xié)議棧位于身份鑒別層，派拉軟件ESC產(chǎn)品結(jié)合FIDO和基于AI行為分析技術(shù)，整個(gè)用戶登錄過(guò)程如下：

a.用戶登錄，通過(guò)瀏覽器獲取手機(jī)APP，收集客戶端信息、設(shè)備指紋、上下文、地理位置等信息，提交到到服務(wù)端

b.服務(wù)端根據(jù)AI及大數(shù)據(jù)算法模型，對(duì)客戶端信息進(jìn)行分析計(jì)算風(fēng)險(xiǎn)值，并根據(jù)不同的風(fēng)險(xiǎn)等級(jí)，讓客戶端采用不同安全等級(jí)的認(rèn)證方式

c.客戶端收到認(rèn)證請(qǐng)求后采用FIDO或其他認(rèn)證提交認(rèn)證憑據(jù)

d.服務(wù)端驗(yàn)證通過(guò)，給客戶端頒發(fā)Token

不管是2C還是2B應(yīng)用系統(tǒng)會(huì)越來(lái)越多種多樣，人們已經(jīng)無(wú)法記住那么多系統(tǒng)的密碼，安全可靠的無(wú)密碼登錄技術(shù)會(huì)是未來(lái)的趨勢(shì)；FIDO相關(guān)國(guó)際標(biāo)準(zhǔn)的發(fā)布，F(xiàn)IDO聯(lián)盟越來(lái)越多的互聯(lián)網(wǎng)的加入，F(xiàn)IDO將會(huì)在更多的項(xiàng)目產(chǎn)品中落地；

身份認(rèn)證及安全登錄相關(guān)產(chǎn)品在中國(guó)未來(lái)的趨勢(shì)

國(guó)家政策和相關(guān)標(biāo)準(zhǔn)陸續(xù)出臺(tái)，逐步規(guī)范身份認(rèn)證行業(yè)；

金融、政務(wù)、互聯(lián)網(wǎng)、制造業(yè)等相關(guān)領(lǐng)域?qū)y(tǒng)一身份管理和安全認(rèn)證需求及技術(shù)要求越來(lái)越高;

國(guó)內(nèi)互聯(lián)網(wǎng)行業(yè)身份認(rèn)證領(lǐng)域壁壘重重，堅(jiān)持統(tǒng)一的身份認(rèn)證規(guī)范和標(biāo)準(zhǔn)，打破壁壘才能實(shí)現(xiàn)開(kāi)放共贏；

在互聯(lián)網(wǎng)時(shí)代下，個(gè)人隱私的保護(hù)和合規(guī)使用，特別是生物特征數(shù)據(jù)的敏感性對(duì)身份認(rèn)證技術(shù)提出更高的要求，派拉軟件融合FIDO和各種安全認(rèn)證技術(shù)都可以充分的滿足新時(shí)代的要求。

小 貼 士