FIDO联盟公布“无密码强认证”安全协议技术草案

graphic_TheUserExperience

线上快速身份验证联盟(FIDO)成立一周年之际发布了FIDO协议的技术规范草案,有望简化web服务的安全认证并“消灭密码“。

FIDO的目标是创建一组新的协议,支持对web应用持续的、安全的、无需密码的访问(即所谓的非密码强认证),对于互联网公司来说,随着重大数据泄露事故的频发,过去基于密码的在线身份验证技术已经难以维持互联网经济的稳定发展,安全界关于“密码已死”的呼声越来越高。而FIDO联盟正是在这个背景下应运而生的一个推动去密码化的强认证协议标准的组织。

FIDO的会员包括Nok Nok Labs、Google、BlackBerry、ARM、英特尔、PayPal、Lenovo和MasterCard。在RSA之前,微软和EMC旗下的RSA是最近加入FIDO联盟的两个重量级厂商。

FIDO的主要使命是以创建行业标准的方式保证各个厂商开发的强认证技术之间的互操作性,用简化的双因子甚至多因子认证技术结束多年来消费者记忆密码的烦恼。加入FIDO联盟之后,电脑和手机厂商将在其设备中植入一颗专门用来进行身份识别的TPM芯片,FIDO标准还允许手机制造商用NFC技术来达到TPM芯片相应的功能。据了解,ARM和Intel公司都有意愿在未来为手机和平板电脑开发类似于TPM的技术。

FIDO标准如何工作?

FIDO的标准草案介绍了FIDO认证协议的工作原理,用户可以使用智能手机指纹采集器、USB令牌等多种方式登录,服务商无需再维护复杂且成本高昂的认证后台。

FIDO通过两个子协议实现安全登录(验证)。U2F标准是关于使用PIN和USB棒或者支持NFC的手机;第二个相关协议UAF支持指纹、语音、虹膜扫描等生物测定身份识别技术。

例如,今后用户只需要自iPhone5上扫描指纹就可以登录支持FIDO的服务如PayPal。其工作原理如下图:

how_fido_works

FIDO技术规范的发布标志着FIDO在标准化的道路上迈出了重要一步,据悉FIDO将通过W3C或IETF等标准组织正式发布技术标准。据FIDO核心成员Nok Nok Labs公司的BD总监Jamie Cowper介绍,FIDO标准将基于电子商务交易的基础安全协议SSL。新的FIDO规范采用了设备为中心的模型,强调可用性、私密性和安全性,定位于Oauth认证技术的补充。

FIDO技术规范草案目前开始接受公众评估,基础协议开源,但是由Nok Nok Labs开发的基于FIDO协议开发的中间件安全技术属于私有的闭源技术。

Nok Nok Labs最近还与联想公司达成合作,在其PC产品中预装Nok Nok Labs的客户端软件。

但是有些公司对Nok Nok Labs对FIDO标准的控制感到不满,一位认证技术厂商负责人在接受EI Reg采访时指出,加入FIDO联盟将暴露自己的知识产权信息,导致与Nok Nok Labs在服务器认证软件和其他安全中间件市场的竞争中处于不利位置。

Cowper在接受EI Reg采访时回击了这种指控,声称:FIDO联盟的知识产权制度将确保没有会员能靠标准挣钱,只有这样才能确保这个标准能够被广泛接受。任何一个FIDO成员都可以开发与Nok Nok的服务器软件相同的产品。

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   

除非注明,本站文章均为原创或编译,未经许可严禁转载。

相关文章:
标签: ,


关于作者

传媒领域资深人士,IT行业净坛使者。 联系邮箱:zhanglin@ctocio.com