FIDO联盟想要在未来可以杀死密码?
对于一个粗心的人来说,对密码的态度就像标题中的四个字。忘记密码后的麻烦体验总是令人沮丧。所以,今年在三星S5上发布支付宝钱包的指纹支付功能时,我的内心爆发出狂喜,救世主来了!不再有记忆密码的脑细胞。
支付宝钱包指纹支付功能的实现非常简单,就是输入和验证:用户在手机和支付宝钱包中输入指纹,然后当用户在支付宝购物转账时,扫描自己的指纹完成支付。
有了这个酷炫的体验,有几个简单的问题:安全吗?你是怎么做到的?
对于不了解这项技术的人来说,这项技术背后的名字可能会在一定程度上增加他们对这项产品的信任:PayPal的安全总监迈克尔巴雷特、指纹识别安全专家Ramesh Kesanupalli、SSL之父、密码学家塔赫尔ELGAmal等。2012年,这三只网络安全界的顶级牛开发了这种认证机制,成立了FIDO联盟。
这些闪耀人物在一起的效果是,他们根本没有采用或开发任何先进的新技术,而是将他们现有的技术结合起来,变成了项目标准。
如何结合?是非对称密钥生物识别技术。也就是说,在验证时,设备和用户的指纹等生物识别被同时验证。而且指纹等数据的存储位置不在云端的服务器中,而是在设备的芯片中,与设备的操作系统是分离的。
因此,这种验证机制不仅消除了记忆和输入密码的需要,而且最大限度地减少了安全问题,密码根本不怕丢失。
基于开放的协议,除了指纹技术,生物识别还可以是语音声纹、人脸识别、虹膜,甚至DNA扫描和生物节律标记,这些都在FIDO联盟的研究和应用之中。
在中国,FIDO背后是联想云服务。联想是FIDO联盟的创始成员。随着不断壮大,FIDO会员也越来越多,包括PayPal、谷歌、黑莓、ARM、微软、阿里巴巴等众多世界知名公司。作为这种身份认证技术的上下游,他们组成了FIDO联盟,并遵循统一的技术和安全标准。接下来就是一个双赢的结果,比如从技术到实际应用场景的指纹识别。
联想将这种新的身份认证技术引入中国,使之符合中国国情,成为中国人。同时,他带回了FIDO的规则和理念。
与FIDO联盟一样,这种验证技术将包括国内的服务商,如银行网银、第三方支付公司,或其他需要身份登录的地方,如游戏、邮箱等;生产手机和个人电脑的原始设备制造商;提供软件或硬件的组件供应商;也有在网上付款转账的用户。比如支付宝、三星优艾设计网_设计客手机已经进入。
在这个生态系统中,联想要做的就是穿针引线。这条线是FIDO在中国的新公开协议,即统一的技术和安全标准。
这个统一的标准恐怕是FIDO对行业最深远的价值。让上下游产业更容易通过接口相互连接,合作更方便,价值最大化。比如三星手机使用的是FIDO提供的解决方案,所以可以直接支持支付宝的指纹支付或者其他网银指纹支付,而不需要做任何其他的改进工作。
精彩评论