微软加入FIDO工作组用公钥代替密码

作者:星期二, 十二月 17, 20130
分享:

public-private-key by Aurich Lawson

还在为忘记PayPal和Office365该死的密码而抓狂吗?也许是因为近年来严重用户数据泄露事件频发,亦或呼叫中心忘记密码的用户求助电话太多,微软终于决定启动“去密码化”进程。

近日,微软宣布加入了FIDO(快速身份认证在线)联盟,该协会的目标是创建一组新的协议,支持对web应用持续的、安全的、无需密码的访问。FIDO的其他会员还包括Google、BlackBerry、PayPal、Lenovo和MasterCard。

在安全业界,密码面临的问题有目共睹,谷歌的Oauth和OpenID认证标准开发者Tim Bray曾抨击“用户名和密码是一种愚蠢的方式,而且也跟不上互联网的规模发展。”其实,早在2011年IBM就曾预言生物识别将在未来五年取代密码,但有趣的是,IBM关于“密码将死”的语言收到了微软专家Cormac Herley的质疑,他认为公钥设施PKI和生物测定还很不完善。

如 今,时隔两年后,密码在云计算时代的安全问题日益突出,微软也终于启动“去密码化”进程。FIDO通过围绕公钥加密建立的系统来取代密码,在支持FIDO 认证的网站,你无须输入密码,只需输入在认证设备——通常是智能手机上的APP生成的PIN码或者进行指纹认证,(类似谷歌gmail的双重认证)认证设 备会生成一对公/私秘钥,公钥将发送给在线服务,私钥将保留在本地认证设备中。

考虑到开发安全在信息安全中的重要地位,对于开发者来说,采用新的公钥认证系统意味着额外的工作负担,因为可能需要为每个不同的在线应用都需要不同的协议和认证APP。

目前FIDO联盟正在创建在线服务和认证设备之间的标准协议,这样很多程序库可以实现共享,而且用户只需要安装一个认证APP就可以登录所有支持FIDO认证的网络服务。FIDO计划在完成该标准后提交给IETF等标准组织。

分享:

相关文章

写一条评论

 

 

0条评论