谷歌、Mozilla、微软、Facebook、亚马逊先后采纳了无口令标准。
FIDO是旨在让全世界摒弃口令的行业联盟,想要将其身份认证协议推向欧洲,成为事实上的全球标准,而且 FIDO 2.0 非常适合GDPR和PSD2的监管要求。
FIDO(线上快速身份认证)联盟于2012年由PayPal和联想共同创立,寻求解决强身份认证技术之间缺乏互操作性的问题。其最终目标是通过在用户设备和用户本身上存储所有凭证,让服务可以安全而私密地访问这些凭证,从而完全摒弃掉对口令需求。
那么,FIDO为什么反对使用口令呢? 简单讲,因为口令很容易大规模被盗。可以通过网络钓鱼和社会工程偷取口令,且口令往往成千上万地集中存储在服务器上特容易被连锅端。黑客可以下载口令数据库,然后暴力破解掉这些加盐散列的口令。因为大部分口令都是短小而简单的,暴力破解往往非常有效。
2016年数据泄露事件中81%涉及弱口令、默认口令或被盗口令。更糟糕的是,2016到2017年间,数据泄露事件暴涨45%。最糟的是,仅1/20的公司企业使用了“高安全等级”的强身份认证——通常指的是利用公钥加密体制和生物特征识别的多因子身份认证系统。
多因子身份认证(MFA)系统面世已经有段时间了,通过短信发送的一次性密码(OTP)、谷歌身份认证器Authenticator之类的App,还有各种令牌和安全密钥,都属于MFA的范畴。但所有这些方法都有各自的缺点。短信挡不住网络钓鱼,七号信令(SS7)也不再被建议使用,其他虽然比较健壮,但往往被人们因贪图便利而偷懒绕过。
FIDO 2.0是今年4月发布的开放身份认证标准集,融合了W3C的网页身份认证规范(WebAuthn)和FIDO相应的客户端到认证器协议(CTAP)——监管智能手机等设备上安全凭证的协议。
