密碼終結者:FIDO身份驗證標準來襲
很多在線服務無法保護用戶密碼免受攻擊者的攻擊威脅,同時,密碼作為身份驗證方式存在固有弱點,這正迫使政府和IT行業構建可行的長期的替代方案。
美國增強國家網絡安全委員會希望看到“到2021年,能夠消除因身份作為攻擊主要方式(特別是使用密碼)的重大數據泄露事故”。這是一個雄心勃勃的目標,因為根據Verizon公司2016年數據泄露事故調查報告顯示,在所有成功的數據泄露事故中,63%都可追溯到使用不當的密碼。對于使用密碼作為身份驗證的固有問題,這將需要我們開發和廣泛部署更好的身份驗證技術,但IT行業一直無法開發替代密碼的技術,而現在FIDO身份驗證標準等新發展已經開始改變這一局面。
密碼的可用性和可部署性優勢是它被長期使用的主要原因,但要求用戶記住更長更復雜的密碼不現實。根據英國信貸參考機構Experian plc研究顯示,在2012年,平均每個英國人擁有25個在線賬戶,25-34歲的人擁有超過40個賬戶。另一方面,盡管強大的身份驗證產品已經存在多年,成本、缺乏互操作性、供應商鎖定以及用戶使用不便等問題使它們沒有得到廣泛部署。同時,使用圖像識別(用戶識別圖片而不是輸入密碼)的做法提供的優勢沒有比密碼好很多,而虹膜識別等可提供顯著安全優勢的解決方案通常太昂貴或者使用不方便。
為了解決強驗證技術之間缺乏互操作性的問題,在2012年7月,Paypal、聯想和Nok Nok實驗室等公司成立了線上快速身份驗證(FIDO)聯盟,其目的是定義一組開放標準和規范,以幫助多因素身份驗證應該平衡安全性與可用性、隱私和互操作性。在2013年,谷歌、Yubico和NXP為強有力第二因素設備制定的開放標準并入FIDO聯盟,在2014年年底,1.0版FIDO標準發布。那么,什么是FIDO,它的工作原理是什么,它能否取代密碼?
FIDO是設備為中心的模型,但它不是為任何特定身份驗證技術而設計。它將身份驗證服務器與特定驗證模型分離,這意味著我們可更改身份驗證方法或提供商,而不會影響應用性能。它提供兩種方式來驗證用戶身份:Passwordless UX--使用通用驗證框架(UAF)協議以及Second Factor UX--使用通用第二因素(U2F)協議(UX代表用戶體驗)。在未來版本中,FIDO希望這兩個標準可進一步發展和協調。
通過Passwordless UX,用戶通過選擇本地身份驗證機制向在線服務注冊其設備。這可以是生物特征,例如刷指紋、自拍或者對麥克風說話。在注冊后,用戶可在對服務進行身份驗證時重復上述過程,而不需要密碼。在線服務也可要求多因素身份驗證機制,例如生物特征(例如指紋或語音掃描)以及知識(例如密碼或PIN)。現在很多設備都有高像素相機、麥克風和指紋讀取器,這比以往任何時候都更容易通過生物身份驗證來在兩方之間建立信任。
Second Factor UX涉及使用密碼或PIN以及符合FIDO的硬件設備來支持雙因素身份驗證:PIN或密碼作為第一因素,而設備的所有權是第二因素。在登錄時,系統會提示用戶插入并觸摸其個人U2F設備,用戶的FIDO設備會創建新的密鑰對,公鑰與在線服務共享并與用戶賬戶相關聯。隨后,該服務可要求注冊設備通過密鑰來驗證用戶身份。目前可移動USB令牌非常流行,還有很多其他選項,包括受信平臺模塊、嵌入式安全元件、智能卡、藍牙低功耗和近場通信(NFC)芯片等。這意味著攻擊者將需要竊取用戶的登錄憑證以及其U2F設備才能獲取賬戶或者應用登錄。
FIDO UAF身份驗證憑證從不與在線服務提供商共享,僅提供與用戶設備配對的公鑰。這可避免當服務提供商受攻擊時用戶賬戶或個人數據泄露的情況。同時,FIDO身份驗證中使用的生物識別信息也不會離開用戶設備,設備也不會發出任何信息可被其他在線服務使用來協作以及追蹤用戶,即使相同設備可用于登錄很多服務。
FIDO正迅速成為全球公認的認證標志。FIDO聯盟現在擁有來自世界各地250多名成員,其中包括技術公司、設備制造商、銀行和醫療保健公司、所有主流支付卡網絡,還有政府以及安全及生物識別供應商。奧巴馬總統在增強國家網絡安全委員會報告中特別指出FIDO聯盟將幫助該委員會發揮重要作用。英國政府新的國家網絡安全戰略也旨在投資于FIDO身份驗證。
谷歌Chrome是第一個部署Second Factor UX的Web瀏覽器,但估計到2017年年初,所有主要瀏覽器都將提供支持。對于用戶來說,這意味著不再需要輸入通過短信接收的六位數密碼來登錄在線服務,用戶只需要將符合FIDO標準的USB密鑰插入計算機,并在按照瀏覽器提示操作即可。谷歌分析了其已部署兩年的U2F安全密鑰,并報告稱現在支持成本已經下載。該公司使用這種密鑰取代了一次性密碼(OTP)作為驗證其員工的方法,谷歌估計這每年將為其節省數千小時時間。同時,基于OTP的身份驗證存在3%失敗率,而新方法為0%。
FIDO為用戶和企業帶來巨大利益,這也是其得到迅速部署而其他舉措未能取代密碼的原因。隨著越來越多的用戶FIDO身份驗證的安全優勢,在線服務會逐漸不再依靠密碼來驗證。如果FIDO減少因為賬戶登錄困難而放棄的在線和移動購物車數量,零售商很快會收回升級其網站使其符合FIDO標準所花費的成本。Paypal、阿里巴巴和支付寶都提供基于FIDO身份驗證的安全支付,Dropbox、GitHub、Dashlane和Salesforce.com等主要云服務現在都支持U2F。
即將推出的FIDO 2.0提供本地平臺支持以及利用FIDO公鑰加密技術的設備到設備身份驗證,這將提高很多IoT設備的安全性。客戶端到身份驗證器協議(CTAP)協議也將在2017年發布,這將使瀏覽器和操作系統可與外部身份驗證器(例如USB密鑰卡、NFC和藍牙功能設備)通信,而不需要用戶在他們使用的每臺設備重新注冊。同時,他們還在為移動錢包提供商和支付應用開發者開發標準以支持消費者設備持卡人驗證方法(CDCVM),以便當用戶在商店或者應用內進行移動支付時,可通過設備上FIDO認證的身份驗證器(例如指紋或自拍生物認證)驗證用戶身份。
多年來,由于基于密碼身份驗證的缺陷,攻擊者已經獲得巨大的利潤。而FIDO身份驗證讓身份盜竊變得更加困難和昂貴,同時又不會犧牲安全的便利性。希望FIDO最終將終止密碼作為主要身份驗證因素的方式。
