很快,如果您使用Android 7設備,則無需輸入密碼。這樣安全嗎?
週一,谷歌很快宣布,幾乎所有運行Android 7及更新版本的設備都將獲得FIDO認證。這一點,你會在一分鐘內發現,是一個巨大的新聞,但我們很欣賞,目前,你們中的一些人可能有點困惑,這就是為什麼我們應該繼續解釋FIDO是什麼以及為什麼它非常重要。
Table of Contents
FIDO和密碼問題?
FIDO代表Fast Identity Online,它是由一些世界上最大的技術公司組成的聯盟開發的認證協議。我們的想法是使身份驗證更容易,更安全。理解它是如何做到這一點的最好方法是將它與我們目前所擁有的 - 用戶名和密碼系統進行比較。
註冊在線服務時的標準程序非常簡單。註冊後,您將創建一組服務提供商接收和存儲的登錄憑據。當您嘗試登錄您的帳戶時,您輸入您的用戶名和密碼,服務提供商將它們與存檔的內容進行比較,如果匹配,您就被允許進入。這有很多基本問題機制。
由於您的用戶名是公開的,並且通常與您的電子郵件一致,因此您帳戶的安全性或多或少取決於您的密碼,因為我們都知道密碼可能( 並且在許多情況下 )很弱。它也可以( 並且在許多情況下 )被重用或被釣魚 ,我們甚至沒有提到密碼在客戶端和服務器之間中繼的方式或服務提供商存儲它的方式 。設計FIDO的人已經意識到處理所有這些問題的唯一方法是完全消除密碼。
FIDO如何運作?
FIDO使用公共密碼術 - 一種完全不同的方法。在註冊過程中,您的FIDO設備會創建一對加密密鑰 - 一個發送給服務提供商的公共密鑰和一個保留在設備上的私密密鑰。服務提供商發送質詢,您的設備使用您的私鑰對其進行簽名。已簽名的質詢將被發送回提供者,該提供者使用您的公鑰對其進行解密,並確認它確實是您在該行的另一端。
這是一個有點複雜的過程,特別是如果你不熟悉密碼學如何工作,但簡單的結果是,如果黑客想要接管你的帳戶,他們將需要兩個加密密鑰 - 公共密鑰和私密密鑰. 由於它們存儲在兩個不同的位置,竊取它們非常困難,猜測它們基本上是不可能的,並且協議的設計使冒充服務提供商變得非常困難,這意味著常規的網絡釣魚攻擊也不起作用。
將FIDO實施到在線服務就像激活API一樣簡單,這意味著您的隱私不再依賴於提供商做(或不做)的內容。更重要的是,在很長一段時間內,我們有了第一次看起來像是難以記住的密碼的可行替代品。
Android進來的地方?
谷歌正在為運行7.0或更高版本的Android設備推出Google Play服務組件的更新。當用戶獲得它時,他們將能夠將他們的手機用作FIDO設備。
這意味著登錄到支持FIDO身份驗證的應用和服務只需要使用設備的指紋掃描儀或以PIN或滑動模式進行打孔。您無需為這些應用程序和網站輸入密碼。
這是個好消息嗎?
是的。我們習慣用密碼來保護我們的數據,廢除它們的想法肯定會讓一些人有點擔心,但正如我們已經建立的那樣,使用加密密鑰代替記憶密碼是一個更好的解決方案。方便和安全。您仍然需要使用您設備的一種身份驗證機制來識別自己,但所有這些都發生在本地,這使得潛在的攻擊更加困難。我們非常確定任何曾經不得不在小型屏幕鍵盤上輸入長而復雜的密碼的人也會歡迎這一變化。
那麼捕獲的地方呢?
許多領先的技術巨頭的參與意味著FIDO的設計可能已經過仔細考慮,但我們不應該被帶走。前一段時間,使用你的狗的名字作為你的密碼是足夠好的,而現在,它不是。以同樣的方式,景觀可能會發展,採用FIDO的服務數量越多,嘗試攻擊它的人數就越多。說到採用,它仍然相對較低。
相當多的服務已經實現了基於FIDO的令牌作為雙因素身份驗證(2FA)的選項之一,但很少有讓您使用該協議作為主要登錄方法。事實上,它仍然相對較新,人們不太明白如何從中受益。還有另一個問題。
根據Wired的說法,接近10億台Android設備將獲得FIDO認證,這將使該協議更接近於很多人,但是當你想到在舊版Google移動操作系統上運行多少手機和平板電腦時,你會 我會發現這遠遠不夠。如果人們要開始使用FIDO,那麼從智能手錶到台式機的任何東西都必須支持該協議,供應商也必須考慮他們將如何處理從世界各地的生產線湧出的物聯網小工具。以驚人的速度。換句話說,FIDO必須像密碼一樣無處不在. 這不太可能很快發生。
密碼就在這裡,你必須學會尊重他們。單擊此處了解我們的Cyclonis Password Manager如何幫助您實現這一目標。
