真實存在的問題

MobileIron最近委托對200名高管和其他負責網(wǎng)絡(luò)安全決策的人進行了一項調(diào)查，調(diào)查對象大多是雇員超過1000人的公司。接受調(diào)查的人表示，他們通過刪除密碼來將被入侵的風險降低一半。從更廣泛的用戶調(diào)查中還發(fā)現(xiàn)，近一半的支持請求與密碼或多因素鎖定有關(guān)。

90％的網(wǎng)絡(luò)安全負責人表示，被盜的證書導(dǎo)致了未經(jīng)授權(quán)的訪問嘗試，而高達86％的人表示，如果可能的話，他們會放棄密碼的使用。

這些問題和態(tài)度，是在安全專家和IT專家多年來試圖勸阻公司和個人不要把密碼作為最重要的安全手段之后出現(xiàn)的。

FIDO （Fast ID Online）聯(lián)盟成立于2013年，旨在消除密碼作為最重要身份驗證元素的模式。該組織的成員幾乎包括所有主要的金融、電信、網(wǎng)絡(luò)和軟件公司，包括美國運通、亞馬遜、谷歌、Facebook和微軟。（ 除了AT＆T和蘋果，幾乎所有公司都參與其中。）

FIDO強調(diào)使用公鑰，這是一種簡潔的數(shù)學驗證方式，它允許人們擁有一個秘密的“私有”密鑰，同時分發(fā)一個成對的公鑰，用于證明他們的身份，或者加密只有他們才能解密的消息。當使用一個支持FIDO的U2F（通用雙因素）標準的網(wǎng)站時，用戶首先注冊并通過多種方式證明自己的身份，包括注冊一個硬件令牌——來自于像yubikey這樣的公司，該公司構(gòu)建了一個防篡改的獨特的公鑰／私鑰對。

在隨后的訪問中，使用U2F的訪問者仍然將輸入密碼作為第一步，然后單擊生成和傳輸簽名消息的U2F硬件密鑰。與大多數(shù)登錄不同，驗證也是雙向的：用戶和站點都透明地提交安全憑據(jù)，以證明其身份，這有助于防止釣魚攻擊。（Web安全證書的工作原理與此類似，但并不是專門為保護用戶帳戶而設(shè)計的。）

現(xiàn)在想象一下上面的場景，它完全不涉及密碼。這就是該聯(lián)盟的目標，一系列名為FIDO2的新標準使其離現(xiàn)實更近了一步。

通過FIDO2，該規(guī)范得到了擴展，不僅允許聯(lián)盟早期需要的獨立硬件密鑰，還允許任何擁有一個經(jīng)過加固的、獨立的安全芯片的移動和桌面硬件，來處理加密和生物特征識別。這包括蘋果的Secure Enclave，自2013年以來，每一款新iPhone都有這個Secure Enclave；現(xiàn)代Android手機中的各種芯片都遵循類似的原則；以及在許多臺式機和筆記本電腦可以找到的可信平臺模塊（TPM）芯片。而這顯然正在成為一個標準特征。

FIDO2可以讓應(yīng)用程序和網(wǎng)站在超過10億臺設(shè)備上，甚至是20億臺設(shè)備上，獲得類似蘋果支付的登錄體驗，而不需要用戶額外的輸入各種密碼。

去年，微軟為其賬戶采用了幾種不同的無密碼登錄選項，其中一些選項依賴于FIDO2。今年2月，谷歌宣布，任何運行version 7及以后版本的Android設(shè)備都符合FIDO2標準，為大量用戶帶來了無密碼登錄服務(wù)。

目前，蘋果似乎是任然是堅持不改變的一方，盡管它允許第三方應(yīng)用程序（但不允許網(wǎng)站）在注冊后使用Touch ID和Face ID進行身份驗證。如果該公司將其列為優(yōu)先事項，這可能是支持FIDO2基于web的登錄標準跨出的一小步。

現(xiàn)在正是時候

如果十年前我告訴你，你應(yīng)該扔掉你的密碼，你一定會認為我瘋了，因為到那時為止的一切都表明，我們需要更好、更強大、更長的密碼，來對抗似乎每天都在出現(xiàn)的入侵。

但10年的賬戶泄露事件表明，許多大小公司在保護密碼方面都做得很糟糕。它還表明，許多用戶選擇弱安全性的密碼，盡管我們不應(yīng)該責怪他們，因為弱密碼是對糟糕設(shè)計的系統(tǒng)的最佳應(yīng)對方案。

現(xiàn)在是廢除密碼的時候了，像MobileIron這樣的公司也在為企業(yè)提供無密碼服務(wù)，谷歌和微軟也在為同樣的消費者提供無密碼服務(wù)，我們終于可以揮手告別那令人討厭的密碼安全體系了。

而未來的解密方式可能只需要一個簡單的一瞥。正如MobileIron的Biddiscombe所說，“我只需要盯著我的設(shè)備，我的設(shè)備就知道是我，企業(yè)就會為我提供我所需要的各種服務(wù)。”