生活在无密码的世界是许多技术爱好者梦dream以求的未来。关于这项技术的发展高峰,没有ETA或进度条,但它的到来是不可避免的。密码已过时,容易忘记,而且经常不安全,即使您采取诸如2要素身份验证之类的附加措施。像许多即将出现的主要趋势一样,Google也是其中的角色。考虑到该公司拥有最受欢迎的移动操作系统,Web浏览器和搜索引擎,这并不奇怪。在过去的两年中,Google一直在与Microsoft等合作伙伴合作开发这项技术。昨天,该公司又朝着无密码功能迈出了一大步。
FIDO联盟昨天在世界移动大会上宣布,Android现在已通过FIDO2认证。如果您以前从未听说过它们,那么FIDO Alliance是一个致力于并定义无密码身份验证标准的协会。该联盟的一些成员包括Google,Facebook,GitHub,Dropbox,eBay等。与来自世界各地的合作伙伴一起,FIDO Alliance在过去的两年中一直致力于FIDO2认证。
除了在常规日期密码方面明显的便利性和可用性方面的改进之外,FIDO2协议还提供了更好的安全性。可以看到,传统上,通过密码进行身份验证的过程是这样的:用户和服务都在服务器和设备上存储了一个秘密密钥。在身份验证过程中,用户将密码发送到服务器,然后在服务器上对密码进行加密并根据存储的密钥进行检查。如果密钥匹配,则用户可以访问其帐户/内容。现在,此方法有一个很大的缺陷:身份验证密钥存储在两个不同的位置,使它们更容易遭受攻击2倍。的确,有一些方法(例如端到端加密)可以防止它们,但是黑客总是想出新方法来利用这些明显的缺陷。
FIDO2协议在脱机条件下仅将身份验证密钥存储在用户的设备上。因此,它更加安全,可靠并且易于使用。现在,所有运行Android 7.0牛轧糖或更高版本的移动设备都可以使用FIDO2认证。移动和Web应用程序的开发人员已经可以使用API将功能实现到他们自己的服务中。
更新2:Google帐户
从今天开始,从Pixel设备开始,Google已开始向Android 7+设备上的Google帐户推出FIDO2无密码身份验证。在访问某些Google服务时,用户可以使用指纹或屏幕锁定方法来代替输入密码。这意味着用户可以注册一次手指,然后将其用于一系列本机和Web服务。指纹永远不会发送到Google的服务器。