設備廠商組建FIDO認證聯(lián)盟密碼被盜問題將不復存在

發(fā)布時間：2013-2-15 16:12 發(fā)布者：Liming

關鍵詞： FIDO , 認證 , 密碼

一項即將出臺的新標準將使手機、電腦廠商有機會消滅用戶密碼被盜問題。雖然我們的生活中充滿了各種密碼，但是用來保護網(wǎng)絡帳號卻并不安全。消滅密碼或者減少密碼的使用，將大大提高互聯(lián)網(wǎng)的安全系數(shù)。

目前，由PayPal和聯(lián)想等公司聯(lián)合成立的“FIDO聯(lián)盟”發(fā)布了一系列技術標準，將有效降低人們對密碼的依賴程度，讓網(wǎng)絡帳號安全更上一個臺階。
根據(jù)FIDO聯(lián)盟的標準，采用物理密令的方法來登陸帳戶，在密碼的驗證過程中，密令設備將起到更加關鍵的作用。FIDO聯(lián)盟首席信息安全官員Michael Barrett說：“消費者的密碼憑證可以通過猜測、網(wǎng)絡盜取信用證書、網(wǎng)絡釣魚等技術手段獲得。FIDO聯(lián)盟的出現(xiàn)至關重要，因為FIDO則將用戶至關重要的密碼憑證儲存在設備中，使網(wǎng)絡犯罪者更難得到這些信息，更難開展網(wǎng)絡犯罪。”
加入FIDO聯(lián)盟之后，電腦和手機廠商將在其設備中植入一顆安全芯片（而現(xiàn)在的絕大部分電腦都內(nèi)置該芯片），保證用戶的帳號、信息安全，個人用戶也可以購買采取相應技術的硬件設備，比如說指紋識別器。Barrett說，采取這種公開標準，任何公司都可以來使用并銷售符合標準的設備，這樣可以擴大新安全技術的使用范圍，逐漸取代“密碼”在個人帳戶安全領域的地位。
加入FIDO聯(lián)盟的企業(yè)可以選擇一二級密碼或者徹底拋棄密碼。Nok Nok實驗室總裁Phil Dunkerberger說：“（有了FIDO標準）終于可以擺脫糾纏了我們幾十年的密碼了�！盢ok Nok實驗室最近融資1500萬美元，開發(fā)出符合FIDO認證標準的安全軟件。
FIDO聯(lián)盟的一個目標就是更好地利用電腦硬件中已經(jīng)自帶但是很少使用的安全設備。絕大部分桌面電腦、筆記本電腦和少數(shù)平板電腦都搭載有一顆專門用來進行身份識別的TPM芯片。FIDO標準還允許手機制造商用NFC技術來達到TPM芯片相應的功能。據(jù)了解，ARM和Intel公司都有醫(yī)院在未來為手機和平板電腦開發(fā)類似于TPM的技術。
安全專家曾一再強調雙重認證（即第一步為傳統(tǒng)密碼，第二部為物理設備認證）的重要性，但是還是很少有用戶會使用這樣的驗證步驟，只有游戲玩家、銀行、大公司會采取雙重認證的方法。像Google、Dropbox、Facebook等企業(yè)都提供雙重認證措施，但是只有極小部分的用戶會使用。
企業(yè)如果要使用FIDO認證方式，只需要在服務器上安裝驗證軟件，然后在客戶和員工電腦上安裝插件，或者在手機上安裝企業(yè)應用程序即可。
FIDO 認證在驗證用戶身份時也更安全。傳統(tǒng)的驗證方法，需要客戶端發(fā)送密碼到遠程服務器的密碼庫中進行比對，但是存在被攔截和破解的風險。而且密碼儲存在同一個遠程服務器上，如果超級管理員帳號被盜，那么損失的不只是一個用戶的密碼。上個月Twitter密碼被盜事件，就是如此。
在FIDO的認證過程中，任何密碼都不會被發(fā)送出去，而是在手機、電腦的軟件中處理。驗證通過后，軟件發(fā)送密鑰到登錄服務器，不保存任何登陸信息。與此同時，登陸服務器發(fā)送密鑰到用戶設備告知其“已經(jīng)通過認證”。
FIDO聯(lián)盟的聯(lián)合創(chuàng)始人之一Ramesh Kesanupalli說，“所有密碼均在一個設備中處理，如果黑客要盜取密碼，就得把設備偷走�！�
FIDO認證標準的出臺已經(jīng)吸引了黑客的注意。根據(jù)調查公司IDC的信息顯示，“這么一個大的系統(tǒng)，肯定會吸引無數(shù)黑客來尋找漏洞。一旦被攻破一次，F(xiàn)IDO系統(tǒng)就完了�！�
為了形成足夠大的影響力，F(xiàn)IDO還需要更多企業(yè)的加盟�！癙ayPal的加盟，將給FIDO帶來足夠的關注度。”目前FIDO聯(lián)盟主要在討論技術問題，有關如何商用將在未來進行討論。(tech2ipo)

本文地址：http://m.54549.cn/thread-110329-1-1.html 【打印本頁】

本站部分文章為轉載或網(wǎng)友發(fā)布，目的在于傳遞和分享信息，并不代表本網(wǎng)贊同其觀點和對其真實性負責；文章版權歸原作者及原出處所有，如涉及作品內(nèi)容、版權和其它問題，我們將根據(jù)著作權人的要求，第一時間更正或刪除。