很快,如果您使用Android 7设备,则无需输入密码。这样安全吗?
周一,谷歌很快宣布,几乎所有运行Android 7及更新版本的设备都将获得FIDO认证。这一点,你会在一分钟内发现,是一个巨大的新闻,但我们很欣赏,目前,你们中的一些人可能会有点困惑,这就是为什么我们应该继续解释FIDO是什么以及为什么它非常重要。
Table of Contents
FIDO和密码问题?
FIDO代表Fast Identity Online,它是由一些世界上最大的技术公司组成的联盟开发的认证协议。我们的想法是使身份验证更容易,更安全。理解它是如何做到这一点的最好方法是将它与我们目前所拥有的 - 用户名和密码系统进行比较。
注册在线服务时的标准程序非常简单。注册后,您将创建一组服务提供商接收和存储的登录凭据。当您尝试登录您的帐户时,您输入您的用户名和密码,服务提供商将它们与存档的内容进行比较,如果匹配,您就被允许进入。这有很多基本问题机制。
由于您的用户名是公开的,并且通常与您的电子邮件一致,因此您帐户的安全性或多或少取决于您的密码,因为我们都知道密码可能( 并且在许多情况下 )很弱。它也可以( 并且在许多情况下 )被重用或被钓鱼 ,我们甚至没有提到密码在客户端和服务器之间中继的方式或服务提供商存储它的方式 。设计FIDO的人已经意识到处理所有这些问题的唯一方法是完全消除密码。
FIDO如何运作?
FIDO使用公共密码术 - 一种完全不同的方法。在注册过程中,您的FIDO设备会创建一对加密密钥 - 一个发送给服务提供商的公共密钥和一个保留在设备上的私密密钥。服务提供商发送质询,您的设备使用您的私钥对其进行签名。已签名的质询将被发送回提供者,该提供者使用您的公钥对其进行解密,并确认它确实是您在该行的另一端。
这是一个有点复杂的过程,特别是如果你不熟悉密码学如何工作,但简单的结果是,如果黑客想要接管你的帐户,他们将需要两个加密密钥 - 公共密钥和私密密钥. 由于它们存储在两个不同的位置,窃取它们非常困难,猜测它们基本上是不可能的,并且协议的设计使冒充服务提供商变得非常困难,这意味着常规的网络钓鱼攻击也不起作用。
将FIDO实施到在线服务就像激活API一样简单,这意味着您的隐私不再依赖于提供商做(或不做)的内容。更重要的是,在很长一段时间内,我们有了第一次看起来像是难以记住的密码的可行替代品。
Android进来的地方?
谷歌正在为运行7.0或更高版本的Android设备推出Google Play服务组件的更新。当用户获得它时,他们将能够将他们的手机用作FIDO设备。
这意味着登录到支持FIDO身份验证的应用和服务只需要使用设备的指纹扫描仪或以PIN或滑动模式进行打孔。您无需为这些应用程序和网站输入密码。
这是个好消息吗?
是的。我们习惯用密码来保护我们的数据,废除它们的想法肯定会让一些人有点担心,但正如我们已经建立的那样,使用加密密钥代替记忆密码是一个更好的解决方案。方便和安全。您仍然需要使用您设备的一种身份验证机制来识别自己,但所有这些都发生在本地,这使得潜在的攻击更加困难。我们非常确定任何曾经不得不在小型屏幕键盘上输入长而复杂的密码的人也会欢迎这一变化。
那么捕获的地方呢?
许多领先的技术巨头的参与意味着FIDO的设计可能已经过仔细考虑,但我们不应该被带走。前一段时间,使用你的狗的名字作为你的密码是足够好的,而现在,它不是。以同样的方式,景观可能会发展,采用FIDO的服务数量越多,尝试攻击它的人数就越多。说到采用,它仍然相对较低。
相当多的服务已经实现了基于FIDO的令牌作为双因素身份验证(2FA)的选项之一,但很少有让您使用该协议作为主要登录方法。事实上,它仍然相对较新,人们不太明白如何从中受益。还有另一个问题。
根据Wired的说法,接近10亿台Android设备将获得FIDO认证,这将使该协议更接近于很多人,但是当你想到在旧版Google移动操作系统上运行多少手机和平板电脑时,你会 我会发现这远远不够。如果人们要开始使用FIDO,那么从智能手表到台式机的任何东西都必须支持该协议,供应商也必须考虑他们将如何处理从世界各地的生产线涌出的物联网小工具。以惊人的速度。换句话说,FIDO必须像密码一样无处不在. 这不太可能很快发生。
密码就在这里,你必须学会尊重他们。单击此处了解我们的Cyclonis Password Manager如何帮助您实现这一目标。
