FIDO 的野望 - 取代传统密码

        生活在互联网时代的我们，每天都会面临一项重大的考验。这项考验无数次冲击了我们对自己记忆力的信心，也引发了我们对世界本质的深入思考……这个考验就是——记住密码。

        当然，除了不好记之外，安全也是一个严重的问题，甚至有时候密码能难住的只有自己。这个问题，难不住黑客，也没有难住 Google。

        据 Engadget 报道，Google 最近加入一个身份验证技术联盟——FIDO （Fast IDentity Online），并成为理事企业。该联盟旨在开发互联网身份验证的新技术，可选用的手段包括生物特征识别、语音识别、脸部识别、USB 验证令牌、NFC 技术和一次性密码等。

        除 Google 外，该联盟成员还包括 PayPal、联想、Nok Nok Labs 和 Validity 等。而半导体公司 NXP 和设备生产商 CrucialTec 也和 Google 在同一天加入了 FIDO。

        Google 负责信息安全的高层 Sam Srinivas 表示，加入 FIDO 联盟和相关工作组将推动 Google 开发出更安全、更通用的身份验证技术。“加入 FIDO 联盟将大力推进业界寻求更好的身份验证方法。我们也在继续研发更通用的‘第二步令牌’，并将其做为 FIDO 新课题的一部分。”

        根据 FIDO 联盟的标准，对采用物理密令来登陆帐户的验证方法来说，其关键在于密令设备。

        FIDO 联盟首席信息安全官员 Michael Barrett 表示：“消费者的密码可以通过穷举、盗取信用证书、网络钓鱼等技术手段被他人获得。因此 FIDO 联盟的出现就显得至关重要了，因为 FIDO 将用户的密码凭证储存在某些设备中，使网络犯罪者难以得到这些信息，侧面打击网络犯罪。”

        设备厂商在加入 FIDO 联盟之后，可以在其设备中放置一颗安全芯片，保证用户的帐号和信息安全。当然，用户也可以自行购买指纹识别器之类的设备。

        传统密码认证+物理设备认证的双重认证法一直受到安全专家的推崇，但只有部分游戏玩家、银行和私人企业会采取这种最为保险的办法。目前，诸如 Google、Dropbox、非死book 等企业都向用户提供双重认证的措施，只有极少部分的用户会使用它。

        在使用传统的验证方法时，系统需要从客户端发送密码到远程服务器的密码库中进行比对，这样就存在密码被拦截和破解的风险。对远程服务器而言，一旦超级管理员的帐号被盗，损失将不可估量。

        而使用 FIDO 联盟的验证方法，用户的密码不会被发送出去，而是在设备内部通过软件来处理。企业如果要使用 FIDO 的认证方式，只需要在服务器上安装验证软件，然后在客户和员工的设备上安装相应的插件或应用程序即可。一旦验证通过，软件会将密钥发送到登录服务器，此过 程中系统不会保存任何登陆信息。之后，登陆服务器会发送密钥到用户设备上，表示验证已经通过。

        今年 1 月，Google 安全副总裁 Eric Grosse 和工程师 Mayanl Upadhyay 在美国电气和电子工程师协会（IEEE）的安全和隐私杂志上发表了一篇文章，文章中描绘了一个不存在密码世界。

        他们在文章中提出了几种密码的替代品，比如 USB 令牌和一个小戒指。

        Google 已经开始在 Chrome 浏览器中添加了对密保卡的支持，用户只需要插入 USB 密保卡即可自动登录。而另一种密码的替代品外形就像一只普通的戒指，用户戴着它就能实现身份验证。

        像我这种所有账号都用同一个密码的人来说，这些功能实在是太贴心了。