美高梅手机版登录4858 3

新版Android已支持FIDO2标准 免密登录应用或网站

输入模式又怎样呢?业界正考虑基于击键节奏识别用户,也就是在按键间跳转和放开按键所花的时间。人在早晨或夜晚的输入模式可能会不同。

FIDO
UAF身份验证凭证从不与在线服务提供商共享,仅提供与用户设备配对的公钥。这可避免当服务提供商受攻击时用户账户或个人数据泄露的情况。同时,FIDO身份验证中使用的生物识别信息也不会离开用户设备,设备也不会发出任何信息可被其他在线服务使用来协作以及追踪用户,即使相同设备可用于登录很多服务。

尽管当前并非所有 App / 服务提供商都支持 FIDO 登录,但只要 开发
者有心,都可以借助相关 API 来提供支持。

如果可信设备或身份验证系统失效了怎么办?那就得确保所用模型是不会回滚到口令时代的了,回滚到其他东西即可。比如回溯到发布账户的机构并重新确立账户访问权。如果是手机丢失了,那就将该用户账户重新指配到新凭证上。

通过Passwordless
UX,用户通过选择本地身份验证机制向在线服务注册其设备。这可以是生物特征,例如刷指纹、自拍或者对麦克风说话。在注册后,用户可在对服务进行身份验证时重复上述过程,而不需要密码。在线服务也可要求多因素身份验证机制,例如生物特征(例如指纹或语音扫描)以及知识(例如密码或PIN)。现在很多设备都有高像素相机、麦克风和指纹读取器,这比以往任何时候都更容易通过生物身份验证来在两方之间建立信任。

如果你的设备未配备指纹传感器,Android 也允许通过其它方式(PIN
码或点线图)进行身份验证。

在Citrus银行,员工将手机接入电脑,往手机上下载一个应用,再与电脑上运行的HYPR应用同步,然后就可以使用电脑了。Citrus银行通过MSI推送在每个员工的桌面电脑上远程部署了该软件,并在系统注册表中写入可供连接HYPR服务器进行比对的唯一密钥。

美高梅手机版登录4858,谷歌Chrome是第一个部署Second Factor
UX的Web浏览器,但估计到2017年年初,所有主要浏览器都将提供支持。对于用户来说,这意味着不再需要输入通过短信接收的六位数密码来登录在线服务,用户只需要将符合FIDO标准的USB密钥插入计算机,并在按照浏览器提示操作即可。谷歌分析了其已部署两年的U2F安全密钥,并报告称现在支持成本已经下载。该公司使用这种密钥取代了一次性密码(OTP)作为验证其员工的方法,谷歌估计这每年将为其节省数千小时时间。同时,基于OTP的身份验证存在3%失败率,而新方法为0%。

尽管定期更换复杂密码是保证账户安全的一个有效途径,但它们通常冗长且难以记忆(除非你使用统一的密码管理器)。

这家佛罗里达银行在今年2月就依靠智能手机设备生物特征识别功能推出无口令身份验证了。

值得一提的是,FIDO2
标准还规定了对身份验证数据进行本地处理,因此不会将任何私密信息传输到服务端。

在智能手机上这些模式还可以包含用户在屏幕上滑动或持握手机的方式。创建此类识别机制需要具备识别用户使用模式的能力,这些模式不仅要难以逆向工程,还得是对特定应用而言是唯一的。

为了解决强验证技术之间缺乏互操作性的问题,在2012年7月,Paypal、联想和Nok
Nok实验室等公司成立了线上快速身份验证(FIDO)联盟,其目的是定义一组开放标准和规范,以帮助多因素身份验证应该平衡安全性与可用性、隐私和互操作性。在2013年,谷歌、Yubico和NXP为强有力第二因素设备制定的开放标准并入FIDO联盟,在2014年年底,1.0版FIDO标准发布。那么,什么是FIDO,它的工作原理是什么,它能否取代密码?

好消息是,得益于谷歌与 FIDO
联盟达成的这项最新合作,我们有望迎来更加安全、便捷的登录选项,比如通过难以窃取或复制的生物识别数据。

私钥由雇员自己保管,而公钥由银行通过其身份验证技术提供商HYPR加以管理。即便银行的网络安全防线被攻破,黑客也无法盗走曾经能给他们带来丰厚收益的员工口令列表了。

【编辑推荐】

【来源:cnBeta.COM】

即便手机上的指纹或人脸扫描器能够让你不用输入口令就能登录支付宝或云盘账户,口令本身还是存在的。在你首次设置应用的时候要用口令,当你想在另一台设备或用另一个浏览器登录时也需要。

FIDO是设备为中心的模型,但它不是为任何特定身份验证技术而设计。它将身份验证服务器与特定验证模型分离,这意味着我们可更改身份验证方法或提供商,而不会影响应用性能。它提供两种方式来验证用户身份:Passwordless
UX–使用通用验证框架(UAF)协议以及Second Factor
UX–使用通用第二因素(U2F)协议(UX代表用户体验)。在未来版本中,FIDO希望这两个标准可进一步发展和协调。

实际上,以移动网银为主的许多 App(以及 Chrome、Edge、Firefox
等现代浏览器),都已经支持类似的便捷登录功能(点线图、扫脸、或指纹登录)。

不过,PC用户的网站身份验证体验目前还不是那么良好。举个例子,用户可能会被要求在手机上打开一个应用,通过互联网来进行身份验证,或者得把手机连接到PC上。随着无口令身份验证方式的推广,用户体验应该也会趋同。

美高梅手机版登录4858 1

美高梅手机版登录4858 2

该标准的底层思想就是:身份是联合的。指纹、照片或录音本地存储在手机上,不传输给第三方。手机采用安全的机制验证用户身份,然后向网站或应用确认这一身份。这套系统显然不完全安全。有很多种方法可以黑掉指纹和人脸ID,而且如果身份验证机制是硬件令牌,比如U盾,还有可能被盗。但相比传统的用户账户+口令方式,已经是安全上的巨大进步了。

FIDO正迅速成为全球公认的认证标志。FIDO联盟现在拥有来自世界各地250多名成员,其中包括技术公司、设备制造商、银行和医疗保健公司、所有主流支付卡网络,还有政府以及安全及生物识别供应商。奥巴马总统在增强国家网络安全委员会报告中特别指出FIDO联盟将帮助该委员会发挥重要作用。英国政府新的国家网络安全战略也旨在投资于FIDO身份验证。

谷歌刚刚宣布了与 FIDO 联盟达成的最新合作,为 Android
用户带来了无需密码、即可登录网站或应用的便捷选项。这项服务基于 FIDO2
标准实现,任何运行 Android 7.0 及后续版本的设备,都可以在升级最新版
Google Play 服务后,通过指纹或 PIN 码来登录常用的应用或网站。

员工入职或拿到新手机时就会在公司认证自己的手机,也就进入到了这套系统中,根本不用设置口令,也不用使用或集中存储密码。

美国增强国家网络安全委员会希望看到“到2021年,能够消除因身份作为攻击主要方式(特别是使用密码)的重大数据泄露事故”。这是一个雄心勃勃的目标,因为根据Verizon公司2016年数据泄露事故调查报告显示,在所有成功的数据泄露事故中,63%都可追溯到使用不当的密码。对于使用密码作为身份验证的固有问题,这将需要我们开发和广泛部署更好的身份验证技术,但IT行业一直无法开发替代密码的技术,而现在FIDO身份验证标准等新发展已经开始改变这一局面。

根据谷歌仪表板上的最新数据,全球约一半的 Android 设备,已做好了对 FIDO
登录提供支持的准备。

该银行作出如此转变的动机源自美国国家标准与技术局发布的更严格的密码建议。Kynion解释称,他们不想因为某位员工在纸上写下超级难记的口令而开除他。所以开始寻求其他办法将用户从不得不输入复杂Windows口令的负担中解脱出来。

很多在线服务无法保护用户密码免受攻击者的攻击威胁,同时,密码作为身份验证方式存在固有弱点,这正迫使政府和IT行业构建可行的长期的替代方案。

[编译自: TheVerge ]

认证方式转变也不是难于上青天的程度,但时至今日仍有许多公司会落回口令或PIN。需要跨部门的协调一致的努力才能真正转变,目前整个行业都依赖口令。

FIDO为用户和企业带来巨大利益,这也是其得到迅速部署而其他举措未能取代密码的原因。随着越来越多的用户FIDO身份验证的安全优势,在线服务会逐渐不再依靠密码来验证。如果FIDO减少因为账户登录困难而放弃的在线和移动购物车数量,零售商很快会收回升级其网站使其符合FIDO标准所花费的成本。Paypal、阿里巴巴和支付宝都提供基于FIDO身份验证的安全支付,Dropbox、GitHub、Dashlane和Salesforce.com等主要云服务现在都支持U2F。

谷歌身份安全产品经理 Christian Brand
表示:“这项技术有一个经常被忽视的要点 ——
不允许用户使用生物识别技术登录,而是秘密已经被共享的模式化身份验证。

埃森哲实验室全球安全研究与开发部门主管 Lisa O’Connor
表示:这是个棘手的挑战。企业得做得更好。如果摆脱了共享秘密式口令,企业的攻击界面和暴露面都会直线下降。

即将推出的FIDO
2.0提供本地平台支持以及利用FIDO公钥加密技术的设备到设备身份验证,这将提高很多IoT设备的安全性。客户端到身份验证器协议(CTAP)协议也将在2017年发布,这将使浏览器和操作系统可与外部身份验证器(例如USB密钥卡、NFC和蓝牙功能设备)通信,而不需要用户在他们使用的每台设备重新注册。同时,他们还在为移动钱包提供商和支付应用开发者开发标准以支持消费者设备持卡人验证方法(CDCVM),以便当用户在商店或者应用内进行移动支付时,可通过设备上FIDO认证的身份验证器(例如指纹或自拍生物认证)验证用户身份。

此外,双因素认证也是一个实用的选项,只是用起来可能较为繁琐,尤其是经常需要满世界跑的人们。

美高梅手机版登录4858 3

多年来,由于基于密码身份验证的缺陷,攻击者已经获得巨大的利润。而FIDO身份验证让身份盗窃变得更加困难和昂贵,同时又不会牺牲安全的便利性。希望FIDO最终将终止密码作为主要身份验证因素的方式。

而且,即便公司企业将自身系统切换到无口令身份验证方式,他们的员工登录大多数Web应用时也依然要用回口令。First
Citrus
银行正在考察口令管理技术。使用口令管理技术就只需记忆一个包含双因子身份验证的主口令。Kynion甚至都不知道自己网银的登录凭证是什么,口令管理产品自动处理好了。

Second Factor
UX涉及使用密码或PIN以及符合FIDO的硬件设备来支持双因素身份验证:PIN或密码作为第一因素,而设备的所有权是第二因素。在登录时,系统会提示用户插入并触摸其个人U2F设备,用户的FIDO设备会创建新的密钥对,公钥与在线服务共享并与用户账户相关联。随后,该服务可要求注册设备通过密钥来验证用户身份。目前可移动USB令牌非常流行,还有很多其他选项,包括受信平台模块、嵌入式安全元件、智能卡、蓝牙低功耗和近场通信(NFC)芯片等。这意味着攻击者将需要窃取用户的登录凭证以及其U2F设备才能获取账户或者应用登录。

相关文章