首页

首页  >> 媒体报告  >> 正文

Android现已通过FIDO2认证,未来的应用程序账户将不再需要密码

作者:新捷仕覆铜板      2019-03-01

       Android操作系统现在已经通过FIDO2认证,这意味着有一天密码可能会在移动系统中被彻底清除。

       你可能总是听到这样的警告:对你的每个在线账户使用独特、强大、复杂和冗长的密码——当然,得确保你不会忘记。

       对威胁行为者来说,攻破这些不断循环使用的简单、容易记住的密码是小菜一碟。如今,公司一般会执行强密码策略和2FA,如果没有专用密码管理器的帮助,很难进行密码管理(有些情况下,密码管理器比我们想象得更不安全)。

那么,如果密码消失,其他东西取而代之呢?

       据外媒报道,周一,在巴塞罗那举行的2019年移动世界大会(MWC)上,谷歌和FIDO联盟共同勾勒出了Android用户的未来。

       这两家机构透露,Android操作系统现在已经通过FIDO2认证,这意味着有一天密码可能会在移动系统中被彻底清除。

       FIDO联盟是一个开放的行业协会,致力于降低我们对密码的依赖。该组织由亚马逊、Arm、谷歌、英特尔、联想和微软等公司组成,也是改进认证标准规范的创建者。这些标准包括FIDO U2F、FIDOUAF和FIDO2,其中 FIDO2实现了W3C的WebAuthn和CTAP。

       支持FIDO2的设备允许用户通过FIDO安全密钥(如YubiKey)或生物识别技术(包括指纹读取器和摄像头)登录在线服务和应用程序,这些都有加密安全支持。

       这不仅可以防止窃听和中间人攻击,还可以消除在线安全服务中存在的一个弱点——密码被强力攻击。

现在,Android已经通过FIDO2认证,这为超过10亿台设备实现无密码认证标准铺平了道路,只要它们运行的是Android 7.0或更高版本。

       Android应用程序和web开发人员现在可以通过API调用将FIDO身份验证添加到他们的软件中,这两家公司说,这将为迅速扩大的终端用户群带来“无密码、防钓鱼的安全功能,这些用户已经拥有领先的Android设备,并且将在未来升级到新设备”。

       例如,可以在基于浏览器的服务中实现简单的登录,并执行身份验证来访问附带的Android移动设备,而不需要多次验证用户。

       谷歌的产品经理Christiaan Brand表示,谷歌长期以来一直与FIDO联盟和W3C合作,将FIDO2协议标准化,这使得任何应用程序都能够超越密码认证,同时提供针对钓鱼攻击的保护。今天发布的Android FIDO2认证有助于推进这一举措,为合作伙伴和开发人员提供了一种标准化的方式,让他们能够跨设备访问安全密钥库,包括已经上市和即将上市的机型,以便为用户构建方便的生物识别控制。

       由于许多人仍在使用非常容易破解的密码,自动化黑客工具的强力攻击依然轻而易举,无密码、强大的身份验证目前只能让在线用户受益。有多少开发人员会采用这个标准还是未知数。