在包括微软、谷歌、贝宝、美国银行和万事达在内等诸多科技及银行巨头的支持下,快速在线身份识别联盟(FIDO)的行业协会周二发布了一组行业规范。规范为计算机及其他设备指定了一系列可替代的用户身份识别方式,旨在构建一个无需密码的未来世界。
经过两年的工作,快速在线身份识别联盟已经成功发布了两套规范的首个完整草案——通用认证框架(UAF)和通用第二因素(U2F)。 如果这些规范能够得到广泛实施,就可以为不再依赖繁杂而具有潜在安全威胁的密码机制来保护在线通信打下基础。两个规范描述了各系统用来验证个人身份的过 程。例如,类似指纹识别器这样的生物传感器就可以对用户进行身份识别;可随身携带的便携式硬件令牌同样可以进行用于个人认证。
如今,大多数的用户还在使用密码登录保护机制的在线服务,尽管这种方法仍然存在问题。根据威瑞森(Verizon)的一项调查显示,超过76%的网络泄露都是通过利用弱口令或窃取登录凭证实施的。而像生物识别这样的其他形式的身份验证技术虽然早就可以使用,但关于这些安全机制应该如何实现,却几乎没有达成行业共识,造成了当前在线身份验证管理环境的分散性和复杂性。
快速在线身份识别联盟的会员现在已经可以使用这些规范来构建安全系统了。像谷歌、贝宝、三星和阿里巴巴这样的公司已经在他们的产品和服务中引入了这些规范的 早期草案。核心规范现在已经完成,快速在线身份识别联盟还在努力引入一系列其他形式的安全访问机制,如使用NFC近场通信和蓝牙无线通讯建立身份识别等。
需要记住多个密码的日子可能很快就一去不复返了。