微软加入FIDO工作组,准备用公钥替代密码

public-private-key by Aurich Lawson

还在为忘记PayPal和Office365该死的密码而抓狂吗?也许是因为近年来严重用户数据泄露事件频发,亦或呼叫中心忘记密码的用户求助电话太多,微软终于决定启动“去密码化”进程。

近日,微软宣布加入了FIDO(快速身份认证在线)联盟,该协会的目标是创建一组新的协议,支持对web应用持续的、安全的、无需密码的访问。FIDO的其他会员还包括Google、BlackBerry、PayPal、Lenovo和MasterCard。

在安全业界,密码面临的问题有目共睹,谷歌的Oauth和OpenID认证标准开发者Tim Bray曾抨击“用户名和密码是一种愚蠢的方式,而且也跟不上互联网的规模发展。”其实,早在2011年IBM就曾预言生物识别将在未来五年取代密码,但有趣的是,IBM关于“密码将死”的语言收到了微软专家Cormac Herley的质疑,他认为公钥设施PKI和生物测定还很不完善。

如今,时隔两年后,密码在云计算时代的安全问题日益突出,微软也终于启动“去密码化”进程。FIDO通过围绕公钥加密建立的系统来取代密码,在支持FIDO认证的网站,你无须输入密码,只需输入在认证设备——通常是智能手机上的APP生成的PIN码或者进行指纹认证,(类似谷歌gmail的双重认证)认证设备会生成一对公/私秘钥,公钥将发送给在线服务,私钥将保留在本地认证设备中。

考虑到开发安全在信息安全中的重要地位,对于开发者来说,采用新的公钥认证系统意味着额外的工作负担,因为可能需要为每个不同的在线应用都需要不同的协议和认证APP。

目前FIDO联盟正在创建在线服务和认证设备之间的标准协议,这样很多程序库可以实现共享,而且用户只需要安装一个认证APP就可以登录所有支持FIDO认证的网络服务。FIDO计划在完成该标准后提交给IETF等标准组织。

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   

除非注明,本站文章均为原创或编译,未经许可严禁转载。

相关文章:


关于作者

能用IT解决的问题都不是问题。 极客、科技作家、周末画报专栏作家、IBM商业价值研究院资深撰稿人;著有《软件的黄金时代》。邮箱:liuchaoyang@ctocio.com