首页 > 代码库 > FIDO联盟:我们将杀死密码

FIDO联盟:我们将杀死密码

技术分享

前不久发布的三星S5与iPhone 5S一样,配备了指纹识别技术。但更为重要的是,这一识别器可以与PayPal关连,进而与多种支付系统相连。通过这一过程,你很可能会摆脱密码,用指纹就可以畅游网络。当然,S5的指纹识别技术还不完美,但这只是一个开始。Google正在开发一款USB钥匙扣,用它可以直接登陆账户;微软虽然没有透露更多细节,但亦表示正在考虑寻求替代密码的另一种方式。

这一切都不是空穴来风,而是建立在一个耗时2年才确立的标准之上。2012年起,FIDO(快速身份在线)联盟便开始建立连接硬件(如三星的指纹识别器)与在线服务的技术标准。这一项目得到了技术和金融巨头的协助,其中包括Google、微软、美国银行和MasterCard。这一计划历经数年,耗费了数百万美元,就是为了取代密码,三星S5是FIDO技术规格迈出的第一步。

恼人的密码

密码登陆技术始于20世纪60年代,当时多个用户使用一台电脑,需要用账户与密码进行区别。当时盗取密码也不过是恶作剧的一种,也没有什么个人信息可泄露。而现在,得到密码后几乎可以了解一个人的一切,如邮件、网银、网盘等。而且你可以在任何联网的地方得到这些信息。密码的泄露可以造成毁灭性的打击,每年也耗费数十亿美元的维护费。

在2010年,PayPal的安全主管Michael Barrett、指纹识别安全专家Ramesh Kesanupalli与SSL之父及密码学者Taher ELGamal举行会谈。Kesanupalli希望拥有新的指纹识别标准,可以不依靠庞大的数据库来使用识别器;Barrett希望可以用安全简单的方式登陆PayPal;而Elgamal是这些计划最好的实行人。两年后,FIDO联盟成立,旨在帮助公司摆脱密码的束缚。在创立之初,FIDO只有PayPal和5家硬件公司,但随后不断壮大,Google和微软分别于2013年4月和12月加入。

零信息泄露

FIDO联盟建立在一个简单的理念之上:用户通过指纹识别器登陆电脑,那么所有站点可以利用Zero-Knowledge Proof(ZKP)技术自动登入。ZKP是一种协议,证明用户已登陆成功(通过指纹或虹膜识别),而不会透露指纹或虹膜的任何信息。

利用这种协议,一台简单的本地设备可以让你登陆整个网络。在移动网络时代,这台设备很可能就是你的手机。在登陆过程是用正确的手机和正确的指纹进行,这让安全得到不少提升,因为复制任何一个可能很简单,但两者同时进行会很难。

利用ZKP技术,你成功登陆后,服务器之间可以共享授权状态,从而不需要再次验证。Google负责验证事务的主管Mayank Upadhyay表示,长期来看,登陆验证只需要在一些触手可得的设备上进行,如你的手机。

发展的阻碍

精明的读者可能已经注意到,FIDO联盟中缺少一个重量级公司——苹果。苹果现在仍采用自己的Touch ID技术,这一技术背后的AuthenTec在被苹果收购后也立即退出了FIDO。苹果与FIDO走的是两条路,一个闭源,一个开源。Touch ID很可能是FIDO路上的最大障碍。

不过即使FIDO在指纹识别上失利,这也无关大局,它的开放特征令其有很强的适应性。即使三星决定放弃指纹识别,采用虹膜识别,FIDO也会很快做出调整。而网络服务端的PayPal甚至根本不需要了解各种识别技术的不同。而且现在这一标准才刚刚建立,以后可能会出现更先进的识别技术,如DNA扫描和生物节律标记,只要FIDO保持开放标准,它就能迅速作出反应。

FIDO的赌注是将验证变得安全且简单,简单到不可忽视。谁又会反对一种简单的登陆方式呢?

FIDO联盟:我们将杀死密码