很多在線服務(wù)無法保護(hù)用戶密碼免受攻擊者的攻擊威脅，同時(shí)，密碼作為身份驗(yàn)證方式存在固有弱點(diǎn)，這正迫使政府和IT行業(yè)構(gòu)建可行的長(zhǎng)期的替代方案。

美國(guó)增強(qiáng)國(guó)家網(wǎng)絡(luò)安全委員會(huì)希望看到“到2021年，能夠消除因身份作為攻擊主要方式(特別是使用密碼)的重大數(shù)據(jù)泄露事故”。這是一個(gè)雄心勃勃的目標(biāo)，因?yàn)楦鶕?jù)Verizon公司2016年數(shù)據(jù)泄露事故調(diào)查報(bào)告顯示，在所有成功的數(shù)據(jù)泄露事故中，63%都可追溯到使用不當(dāng)?shù)拿艽a。對(duì)于使用密碼作為身份驗(yàn)證的固有問題，這將需要我們開發(fā)和廣泛部署更好的身份驗(yàn)證技術(shù)，但I(xiàn)T行業(yè)一直無法開發(fā)替代密碼的技術(shù)，而現(xiàn)在FIDO身份驗(yàn)證標(biāo)準(zhǔn)等新發(fā)展已經(jīng)開始改變這一局面。

密碼的可用性和可部署性優(yōu)勢(shì)是它被長(zhǎng)期使用的主要原因，但要求用戶記住更長(zhǎng)更復(fù)雜的密碼不現(xiàn)實(shí)。根據(jù)英國(guó)信貸參考機(jī)構(gòu)Experian plc研究顯示，在2012年，平均每個(gè)英國(guó)人擁有25個(gè)在線賬戶，25-34歲的人擁有超過40個(gè)賬戶。另一方面，盡管強(qiáng)大的身份驗(yàn)證產(chǎn)品已經(jīng)存在多年，成本、缺乏互操作性、供應(yīng)商鎖定以及用戶使用不便等問題使它們沒有得到廣泛部署。同時(shí)，使用圖像識(shí)別(用戶識(shí)別圖片而不是輸入密碼)的做法提供的優(yōu)勢(shì)沒有比密碼好很多，而虹膜識(shí)別等可提供顯著安全優(yōu)勢(shì)的解決方案通常太昂貴或者使用不方便。

為了解決強(qiáng)驗(yàn)證技術(shù)之間缺乏互操作性的問題，在2012年7月，Paypal、聯(lián)想和Nok Nok實(shí)驗(yàn)室等公司成立了線上快速身份驗(yàn)證(FIDO)聯(lián)盟，其目的是定義一組開放標(biāo)準(zhǔn)和規(guī)范，以幫助多因素身份驗(yàn)證應(yīng)該平衡安全性與可用性、隱私和互操作性。在2013年，谷歌、Yubico和NXP為強(qiáng)有力第二因素設(shè)備制定的開放標(biāo)準(zhǔn)并入FIDO聯(lián)盟，在2014年年底，1.0版FIDO標(biāo)準(zhǔn)發(fā)布。那么，什么是FIDO，它的工作原理是什么，它能否取代密碼?

FIDO是設(shè)備為中心的模型，但它不是為任何特定身份驗(yàn)證技術(shù)而設(shè)計(jì)。它將身份驗(yàn)證服務(wù)器與特定驗(yàn)證模型分離，這意味著我們可更改身份驗(yàn)證方法或提供商，而不會(huì)影響應(yīng)用性能。它提供兩種方式來驗(yàn)證用戶身份：Passwordless UX--使用通用驗(yàn)證框架(UAF)協(xié)議以及Second Factor UX--使用通用第二因素(U2F)協(xié)議(UX代表用戶體驗(yàn))。在未來版本中，F(xiàn)IDO希望這兩個(gè)標(biāo)準(zhǔn)可進(jìn)一步發(fā)展和協(xié)調(diào)。

通過Passwordless UX，用戶通過選擇本地身份驗(yàn)證機(jī)制向在線服務(wù)注冊(cè)其設(shè)備。這可以是生物特征，例如刷指紋、自拍或者對(duì)麥克風(fēng)說話。在注冊(cè)后，用戶可在對(duì)服務(wù)進(jìn)行身份驗(yàn)證時(shí)重復(fù)上述過程，而不需要密碼。在線服務(wù)也可要求多因素身份驗(yàn)證機(jī)制，例如生物特征(例如指紋或語音掃描)以及知識(shí)(例如密碼或PIN)。現(xiàn)在很多設(shè)備都有高像素相機(jī)、麥克風(fēng)和指紋讀取器，這比以往任何時(shí)候都更容易通過生物身份驗(yàn)證來在兩方之間建立信任。

Second Factor UX涉及使用密碼或PIN以及符合FIDO的硬件設(shè)備來支持雙因素身份驗(yàn)證：PIN或密碼作為第一因素，而設(shè)備的所有權(quán)是第二因素。在登錄時(shí)，系統(tǒng)會(huì)提示用戶插入并觸摸其個(gè)人U2F設(shè)備，用戶的FIDO設(shè)備會(huì)創(chuàng)建新的密鑰對(duì)，公鑰與在線服務(wù)共享并與用戶賬戶相關(guān)聯(lián)。隨后，該服務(wù)可要求注冊(cè)設(shè)備通過密鑰來驗(yàn)證用戶身份。目前可移動(dòng)USB令牌非常流行，還有很多其他選項(xiàng)，包括受信平臺(tái)模塊、嵌入式安全元件、智能卡、藍(lán)牙低功耗和近場(chǎng)通信(NFC)芯片等。這意味著攻擊者將需要竊取用戶的登錄憑證以及其U2F設(shè)備才能獲取賬戶或者應(yīng)用登錄。

FIDO UAF身份驗(yàn)證憑證從不與在線服務(wù)提供商共享，僅提供與用戶設(shè)備配對(duì)的公鑰。這可避免當(dāng)服務(wù)提供商受攻擊時(shí)用戶賬戶或個(gè)人數(shù)據(jù)泄露的情況。同時(shí)，F(xiàn)IDO身份驗(yàn)證中使用的生物識(shí)別信息也不會(huì)離開用戶設(shè)備，設(shè)備也不會(huì)發(fā)出任何信息可被其他在線服務(wù)使用來協(xié)作以及追蹤用戶，即使相同設(shè)備可用于登錄很多服務(wù)。

FIDO正迅速成為全球公認(rèn)的認(rèn)證標(biāo)志。FIDO聯(lián)盟現(xiàn)在擁有來自世界各地250多名成員，其中包括技術(shù)公司、設(shè)備制造商、銀行和醫(yī)療保健公司、所有主流支付卡網(wǎng)絡(luò)，還有政府以及安全及生物識(shí)別供應(yīng)商。奧巴馬總統(tǒng)在增強(qiáng)國(guó)家網(wǎng)絡(luò)安全委員會(huì)報(bào)告中特別指出FIDO聯(lián)盟將幫助該委員會(huì)發(fā)揮重要作用。英國(guó)政府新的國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略也旨在投資于FIDO身份驗(yàn)證。

谷歌Chrome是第一個(gè)部署Second Factor UX的Web瀏覽器，但估計(jì)到2017年年初，所有主要瀏覽器都將提供支持。對(duì)于用戶來說，這意味著不再需要輸入通過短信接收的六位數(shù)密碼來登錄在線服務(wù)，用戶只需要將符合FIDO標(biāo)準(zhǔn)的USB密鑰插入計(jì)算機(jī)，并在按照瀏覽器提示操作即可。谷歌分析了其已部署兩年的U2F安全密鑰，并報(bào)告稱現(xiàn)在支持成本已經(jīng)下載。該公司使用這種密鑰取代了一次性密碼(OTP)作為驗(yàn)證其員工的方法，谷歌估計(jì)這每年將為其節(jié)省數(shù)千小時(shí)時(shí)間。同時(shí)，基于OTP的身份驗(yàn)證存在3%失敗率，而新方法為0%。

FIDO為用戶和企業(yè)帶來巨大利益，這也是其得到迅速部署而其他舉措未能取代密碼的原因。隨著越來越多的用戶FIDO身份驗(yàn)證的安全優(yōu)勢(shì)，在線服務(wù)會(huì)逐漸不再依靠密碼來驗(yàn)證。如果FIDO減少因?yàn)橘~戶登錄困難而放棄的在線和移動(dòng)購(gòu)物車數(shù)量，零售商很快會(huì)收回升級(jí)其網(wǎng)站使其符合FIDO標(biāo)準(zhǔn)所花費(fèi)的成本。Paypal、阿里巴巴和支付寶都提供基于FIDO身份驗(yàn)證的安全支付，Dropbox、GitHub、Dashlane和Salesforce.com等主要云服務(wù)現(xiàn)在都支持U2F。

即將推出的FIDO 2.0提供本地平臺(tái)支持以及利用FIDO公鑰加密技術(shù)的設(shè)備到設(shè)備身份驗(yàn)證，這將提高很多IoT設(shè)備的安全性?？蛻舳说缴矸蒡?yàn)證器協(xié)議(CTAP)協(xié)議也將在2017年發(fā)布，這將使瀏覽器和操作系統(tǒng)可與外部身份驗(yàn)證器(例如USB密鑰卡、NFC和藍(lán)牙功能設(shè)備)通信，而不需要用戶在他們使用的每臺(tái)設(shè)備重新注冊(cè)。同時(shí)，他們還在為移動(dòng)錢包提供商和支付應(yīng)用開發(fā)者開發(fā)標(biāo)準(zhǔn)以支持消費(fèi)者設(shè)備持卡人驗(yàn)證方法(CDCVM)，以便當(dāng)用戶在商店或者應(yīng)用內(nèi)進(jìn)行移動(dòng)支付時(shí)，可通過設(shè)備上FIDO認(rèn)證的身份驗(yàn)證器(例如指紋或自拍生物認(rèn)證)驗(yàn)證用戶身份。

多年來，由于基于密碼身份驗(yàn)證的缺陷，攻擊者已經(jīng)獲得巨大的利潤(rùn)。而FIDO身份驗(yàn)證讓身份盜竊變得更加困難和昂貴，同時(shí)又不會(huì)犧牲安全的便利性。希望FIDO最終將終止密碼作為主要身份驗(yàn)證因素的方式。