密码终结者:FIDO身份验证标准来袭

日期:2017-1-13作者:Michael Cobb

【TechTarget中国原创】

很多在线服务无法保护用户密码免受攻击者的攻击威胁,同时,密码作为身份验证方式存在固有弱点,这正迫使政府和IT行业构建可行的长期的替代方案。

美国增强国家网络安全委员会希望看到“到2021年,能够消除因身份作为攻击主要方式(特别是使用密码)的重大数据泄露事故”。这是一个雄心勃勃的目标,因为根据Verizon公司2016年数据泄露事故调查报告显示,在所有成功的数据泄露事故中,63%都可追溯到使用不当的密码。对于使用密码作为身份验证的固有问题,这将需要我们开发和广泛部署更好的身份验证技术,但IT行业一直无法开发替代密码的技术,而现在FIDO身份验证标准等新发展已经开始改变这一局面。

密码的可用性和可部署性优势是它被长期使用的主要原因,但要求用户记住更长更复杂的密码不现实。根据英国信贷参考机构Experian plc研究显示,在2012年,平均每个英国人拥有25个在线账户,25-34岁的人拥有超过40个账户。另一方面,尽管强大的身份验证产品已经存在多年,成本、缺乏互操作性、供应商锁定以及用户使用不便等问题使它们没有得到广泛部署。同时,使用图像识别(用户识别图片而不是输入密码)的做法提供的优势没有比密码好很多,而虹膜识别等可提供显著安全优势的解决方案通常太昂贵或者使用不方便。

为了解决强验证技术之间缺乏互操作性的问题,在2012年7月,Paypal、联想和Nok Nok实验室等公司成立了线上快速身份验证(FIDO)联盟,其目的是定义一组开放标准和规范,以帮助多因素身份验证应该平衡安全性与可用性、隐私和互操作性。在2013年,谷歌、Yubico和NXP为强有力第二因素设备制定的开放标准并入FIDO联盟,在2014年年底,1.0版FIDO标准发布。那么,什么是FIDO,它的工作原理是什么,它能否取代密码?

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Michael Cobb
Michael Cobb

Michael Cobb, CISSP - ISSAP在IT行业的安全方面有10年以上的经验,财经方面有16年的经验,他是Cobweb Applications Ltd的创办人兼常务董事,IT培训和数据安全与分析顾问。与人共同撰写IIS Security 这本书,并为许多IT出版物写了大量的技术性文章。Michael也是微软认证数据库管理员和微软认证专家。

密码管理>更多

  • 密码终结者:FIDO身份验证标准来袭

    很多在线服务无法保护用户密码免受攻击者的攻击威胁,同时,密码作为身份验证方式存在固有弱点,这正迫使政府和IT行业构建可行的长期的替代方案……

  • 交友网站泄露事件过后:关于密码安全的大讨论

    在Friend Finder Network的4亿用户账户泄露事件后,专家开始对密码安全的方方面面进行大讨论……

  • 对企业来说,云端自行加密是可行之道吗?

    服务提供商可在需要的情况下访问加密数据。例如,当服务提供商收到执法部门访问数据的请求时,他们对访问数据并没有技术屏障,尽管数据被加密。同样地,服务提供商在技术或管理保护(密钥管理、过期或密钥访问)方面的缺陷可能会使数据处于风险之中。

  • TeamViewer攻击事件:究竟谁之过?

    过去一个月,用户的抱怨充斥着论坛,他们都在说类似的问题——即TeamViewer账户被攻破。用户指责TeamViewer攻击事件的责任在开发人员,而开发人员则称是用户的失误……

相关推荐

  • 中间人攻击:你的信用卡数据是这样暴露的……

    NCR Corp研究人员展示了针对PoS终端和PIN输入设备的被动中间人攻击是如何绕过信用卡芯片和密码保护、而导致信用卡数据可在其他地方被使用以及修改的。

  • MongoDB勒索攻击蔓延原因:不安全配置

    攻击者已经发现很多MongoDB配置存在缺陷,而这为勒索攻击打开了大门……与勒索软件攻击不同,其中数据被加密,在这种攻击中,攻击者可访问数据库、复制文件、删除所有内容并留下勒索字条——承诺在收到赎金后归还数据。

  • 网络安全风险加剧,数据泄露责任谁担?

    在新的一年,随着云和移动技术的继续扩展,企业网络边界持续瓦解。扩大的受攻击面让企业面临的安全风险加剧,且数据泄露带来的损失只增不减,同时又面临着难以问责的现象。

  • 【年终盘点】2016国内安全大事件总结

    在之前的《【特别策划】2016安全大事件“七宗最”》中,笔者总结了今年安全行业各种好玩的代表事件,不过细心的读者可能会发现这些事件都发生在国外,那是不是意味着国内就风平浪静、一派祥和了呢?当然不是啦,一起来看这一年国内都发生了哪些令人揪心的事儿吧。

技术手册>更多

  • 无线攻击和漏洞

    目前很多公司都已经配置了企业级别的802.11 (Wi-Fi)无线局域网。然而,虽然最近技术提高了,但是安全问题依然被认为是首要的挑战。没有充足的安全措施,无线就会为新的攻击开放企业网络。本专题将帮助您理解Wi-Fi的技术内在漏洞和对它攻击。

  • SSL技术详解手册

    SSL是一个基于标准的加密协议,广泛应用于互联网。本技术手册将介绍SSL协议的作用和使用,包括如何配置具有SSL保护的FTP服务器,企业如何生成可信SSL证书等内容。

  • 如何选择应用防火墙

    Web应用防火墙(Web application firewall)或应用层防火墙是一种旨在保护Web应用程序免受攻击和数据泄露危害的装置或软件。那些急于达到PCI安全标准的企业在选择Web应用防火墙(WAF)时往往无所适从。怎样才知道该选择什么产品?如何才能有效地部署和管理这些工具和软件?如何把它们与现有的基础架构有机组合起来?下面我们将列出在评估产品时帮助你遵从法规的需要着重考虑的几点。

  • 企业合并安全

    在本专题中,安全专家解释了管理两个公司完全不同的员工的最好方法、技术和策略。本文中介绍了在并购时的需要注意的问题,并为合并的每一步提供了参考的办法。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算
【TechTarget中国原创】

很多在线服务无法保护用户密码免受攻击者的攻击威胁,同时,密码作为身份验证方式存在固有弱点,这正迫使政府和IT行业构建可行的长期的替代方案。

美国增强国家网络安全委员会希望看到“到2021年,能够消除因身份作为攻击主要方式(特别是使用密码)的重大数据泄露事故”。这是一个雄心勃勃的目标,因为根据Verizon公司2016年数据泄露事故调查报告显示,在所有成功的数据泄露事故中,63%都可追溯到使用不当的密码。对于使用密码作为身份验证的固有问题,这将需要我们开发和广泛部署更好的身份验证技术,但IT行业一直无法开发替代密码的技术,而现在FIDO身份验证标准等新发展已经开始改变这一局面。

密码的可用性和可部署性优势是它被长期使用的主要原因,但要求用户记住更长更复杂的密码不现实。根据英国信贷参考机构Experian plc研究显示,在2012年,平均每个英国人拥有25个在线账户,25-34岁的人拥有超过40个账户。另一方面,尽管强大的身份验证产品已经存在多年,成本、缺乏互操作性、供应商锁定以及用户使用不便等问题使它们没有得到广泛部署。同时,使用图像识别(用户识别图片而不是输入密码)的做法提供的优势没有比密码好很多,而虹膜识别等可提供显著安全优势的解决方案通常太昂贵或者使用不方便。

为了解决强验证技术之间缺乏互操作性的问题,在2012年7月,Paypal、联想和Nok Nok实验室等公司成立了线上快速身份验证(FIDO)联盟,其目的是定义一组开放标准和规范,以帮助多因素身份验证应该平衡安全性与可用性、隐私和互操作性。在2013年,谷歌、Yubico和NXP为强有力第二因素设备制定的开放标准并入FIDO联盟,在2014年年底,1.0版FIDO标准发布。那么,什么是FIDO,它的工作原理是什么,它能否取代密码?

FIDO是设备为中心的模型,但它不是为任何特定身份验证技术而设计。它将身份验证服务器与特定验证模型分离,这意味着我们可更改身份验证方法或提供商,而不会影响应用性能。它提供两种方式来验证用户身份:Passwordless UX--使用通用验证框架(UAF)协议以及Second Factor UX--使用通用第二因素(U2F)协议(UX代表用户体验)。在未来版本中,FIDO希望这两个标准可进一步发展和协调。

通过Passwordless UX,用户通过选择本地身份验证机制向在线服务注册其设备。这可以是生物特征,例如刷指纹、自拍或者对麦克风说话。在注册后,用户可在对服务进行身份验证时重复上述过程,而不需要密码。在线服务也可要求多因素身份验证机制,例如生物特征(例如指纹或语音扫描)以及知识(例如密码或PIN)。现在很多设备都有高像素相机、麦克风和指纹读取器,这比以往任何时候都更容易通过生物身份验证来在两方之间建立信任。

Second Factor UX涉及使用密码或PIN以及符合FIDO的硬件设备来支持双因素身份验证:PIN或密码作为第一因素,而设备的所有权是第二因素。在登录时,系统会提示用户插入并触摸其个人U2F设备,用户的FIDO设备会创建新的密钥对,公钥与在线服务共享并与用户账户相关联。随后,该服务可要求注册设备通过密钥来验证用户身份。目前可移动USB令牌非常流行,还有很多其他选项,包括受信平台模块、嵌入式安全元件、智能卡、蓝牙低功耗和近场通信(NFC)芯片等。这意味着攻击者将需要窃取用户的登录凭证以及其U2F设备才能获取账户或者应用登录。

FIDO UAF身份验证凭证从不与在线服务提供商共享,仅提供与用户设备配对的公钥。这可避免当服务提供商受攻击时用户账户或个人数据泄露的情况。同时,FIDO身份验证中使用的生物识别信息也不会离开用户设备,设备也不会发出任何信息可被其他在线服务使用来协作以及追踪用户,即使相同设备可用于登录很多服务。

FIDO正迅速成为全球公认的认证标志。FIDO联盟现在拥有来自世界各地250多名成员,其中包括技术公司、设备制造商、银行和医疗保健公司、所有主流支付卡网络,还有政府以及安全及生物识别供应商。奥巴马总统在增强国家网络安全委员会报告中特别指出FIDO联盟将帮助该委员会发挥重要作用。英国政府新的国家网络安全战略也旨在投资于FIDO身份验证。

谷歌Chrome是第一个部署Second Factor UX的Web浏览器,但估计到2017年年初,所有主要浏览器都将提供支持。对于用户来说,这意味着不再需要输入通过短信接收的六位数密码来登录在线服务,用户只需要将符合FIDO标准的USB密钥插入计算机,并在按照浏览器提示操作即可。谷歌分析了其已部署两年的U2F安全密钥,并报告称现在支持成本已经下载。该公司使用这种密钥取代了一次性密码(OTP)作为验证其员工的方法,谷歌估计这每年将为其节省数千小时时间。同时,基于OTP的身份验证存在3%失败率,而新方法为0%。

FIDO为用户和企业带来巨大利益,这也是其得到迅速部署而其他举措未能取代密码的原因。随着越来越多的用户FIDO身份验证的安全优势,在线服务会逐渐不再依靠密码来验证。如果FIDO减少因为账户登录困难而放弃的在线和移动购物车数量,零售商很快会收回升级其网站使其符合FIDO标准所花费的成本。Paypal、阿里巴巴和支付宝都提供基于FIDO身份验证的安全支付,Dropbox、GitHub、Dashlane和Salesforce.com等主要云服务现在都支持U2F。

即将推出的FIDO 2.0提供本地平台支持以及利用FIDO公钥加密技术的设备到设备身份验证,这将提高很多IoT设备的安全性。客户端到身份验证器协议(CTAP)协议也将在2017年发布,这将使浏览器和操作系统可与外部身份验证器(例如USB密钥卡、NFC和蓝牙功能设备)通信,而不需要用户在他们使用的每台设备重新注册。同时,他们还在为移动钱包提供商和支付应用开发者开发标准以支持消费者设备持卡人验证方法(CDCVM),以便当用户在商店或者应用内进行移动支付时,可通过设备上FIDO认证的身份验证器(例如指纹或自拍生物认证)验证用户身份。

多年来,由于基于密码身份验证的缺陷,攻击者已经获得巨大的利润。而FIDO身份验证让身份盗窃变得更加困难和昂贵,同时又不会牺牲安全的便利性。希望FIDO最终将终止密码作为主要身份验证因素的方式。