移动互联网发展,智能移动设备普及,越来越多操作基于移动终端完成。
然而,移动应用与服务所采用的身份认证方式仍是传统密码,安全性不高。
近几年来不断爆发的密码大量泄露事件,就是例证。
京东被指数据外泄,超过12个G,涉及数千万用户;短信验证码也存在大量的安全漏洞可能被劫持攻击……此类事件层出不穷。
随着指纹、人脸、虹膜识别等生物特征识别技术日益成熟,身份认证技术的种类趋于多样化。
但移动设备碎片化严重、接口不统一(没有兼容多种认证手段的统一认证协议)、兼容多应用困难等问题也日益凸显。
金融领域,UKey技术已应用多年,PKI/CA证书系统提供的安全能力能很好满足银行需要达到的安全等级。
但在移动端,UKey不便携带, 难以满足移动应用“随时、随地、随心”的需要,用户体验性较差。
在这样的背景下,安全性高、轻量级、统一、体验好的身份认证标准-FIDO,应运而生。
01
FIDO是什么?
FIDO联盟成立于2012年,这个非盈利性组织主要目标是解决身份验证设备之间互操作性不足以及用户面临的密码问题(难以创建和记住多个密码)。
目前已经有Google, Visa, MasterCard, BC Card, Microsoft, Intel, PayPal, ARM,NTT Docomo, 联想集团等252家公司与机构参与,
包括美国国家标准技术研究所(NIST),英国内阁办公室,德国联邦资讯安全局等政府权威机构。
02
FIDO如何工作?
FIDO不是为任何特定身份验证技术而设计,而是以设备为中心的模型。
它的特点是硬件隔离配合高强度的密码学算法来实现身份认证,实现轻量级、通用化、优良的用户体验。
它将身份验证服务器与特定验证模型分离,这意味着我们可更改身份验证方法或提供商,而不会影响应用性能。
用户可以使用智能手机指纹采集器、USB令牌等多种方式登录,服务商无需再维护复杂且成本高昂的认证后台。
通过一张图了解FIDO模式工作原理:
看下面这个分解图(以用户登录手机某应用场景为例):
ps:一次认证,永久安全使用,这就是FIDO的秘密。
03
FIDO有什么优势?
FIDO具有安全性、便捷性、适配性以及隐私保护的优势。
一、认证手段与认证协议相分离
一套服务端可对接任意种类的认证方式
解决了生物特征“不可撤销性”问题
服务端不保留用户秘密,只留存用户公钥,保证隐私安全
二、协议内部无第三方参与
UFA框架仅有客户端和服务端,简洁明了,易于实现
轻量级,减少产业链环节,减少安全干扰因素
三、实现不可链接性
是对同一角色或身份的关联,比如在协议P中角色R的多次会话,攻击者从外部无法区分两次会话中消息是否源自同一角色,此时,称协议P保持R的不可链接性。
UAF协议实现不可链接性的措施
a) 对不同的依赖方和不同的设备,用户密钥都是不同的(碎片化)
b) 认证器鉴证密钥不是每设备唯一的,防止由唯一性导致的可追踪性
c) 不存在一个全局的设备唯一标识符,防止留下”足印”
04
使用FIDO给银行带来什么价值?
| Before | After |
登录网站、手机应用等,要输入用户名和密码,很繁琐 |
只要输入指纹、声纹等标识,就可以快速登录 |
| 手机应用密码也太多,根本记不住 | 只要应用加入了FIDO,根本不用记录密码,简单易操作,安全又可靠 |
| 登录操作程序繁琐,影响用户体验 |
提升用户体验度,增加用户粘性 |
