密碼對(duì)于在線應(yīng)用安全是非常必要的，釣魚郵件、垃圾郵件和弱口令等對(duì)用戶帶來了潛在的安全威脅。為解決密碼存在的相關(guān)問題，W3C和FIDO聯(lián)盟開發(fā)了通用無密碼登錄標(biāo)準(zhǔn)——FIDO。近日，微軟、谷歌、蘋果三大互聯(lián)網(wǎng)巨頭宣布將支持FIDO無密碼登錄。

很多人會(huì)好奇，這個(gè)FIDO聯(lián)盟是干啥的，蘋果、谷歌和微軟這三巨頭對(duì)這個(gè)聯(lián)盟的支持又意味著什么呢？

FIDO聯(lián)盟成立于 2012 年 7 月，是一家推行通過“將認(rèn)證方式與認(rèn)證協(xié)議分離，利用硬件設(shè)備內(nèi)嵌的安全能力，對(duì)多設(shè)備多應(yīng)用的不同身份認(rèn)證方式提供同樣的支持”技術(shù)實(shí)現(xiàn)移動(dòng)端身份認(rèn)證的聯(lián)盟。

在2015年其成員就包括了英特爾、微軟、谷歌、BlackBerry、ARM、 MasterCard、美國(guó)運(yùn)通、三星電子、中國(guó)金融認(rèn)證中心、阿里巴巴、聯(lián)想等企業(yè)。我們熟悉的支付寶、京東錢包、翼支付，國(guó)外使用的PayPal、NTT等等，都使用了FIDO聯(lián)盟的相關(guān)技術(shù)。而蘋果是在2022年才加入的。

FIDO聯(lián)盟旨在通過“一組開放、可擴(kuò)展、可互操作的機(jī)制和強(qiáng)大、更私密的身份驗(yàn)證標(biāo)準(zhǔn)，來減少對(duì)密碼的依賴”。其實(shí)對(duì)于普通人來說，我們已經(jīng)習(xí)慣性的接受了很多無密碼登錄的行為，比如早期的USB秘鑰如今的短信驗(yàn)證，都是一種無密碼登錄操作，它的好處就是無需記憶、動(dòng)態(tài)、不受地點(diǎn)限制等。

如果能夠讓我們?cè)诘卿涃~號(hào)的時(shí)候不需要輸入密碼就可以登錄的話，那我們是不是在某種程度上就實(shí)現(xiàn)了密碼永遠(yuǎn)不會(huì)泄露、賬號(hào)也更安全呢？

FIDO聯(lián)盟就是這么想的。

根據(jù)官方介紹，F(xiàn)IDO聯(lián)盟的主要目標(biāo)是“解決強(qiáng)認(rèn)證設(shè)備之間缺乏互操作性以及用戶創(chuàng)建和記憶多個(gè)賬號(hào)及口令所面臨的問題?！?/p>

它的認(rèn)證協(xié)議允許用戶在合作網(wǎng)站和應(yīng)用程序中，不輸入密碼也能進(jìn)行簡(jiǎn)單、安全地登錄。

原理如下，F(xiàn)IDO通過兩個(gè)子協(xié)議：UAF和U2F實(shí)現(xiàn)安全登錄（驗(yàn)證）：

第一個(gè)U2F標(biāo)準(zhǔn)是關(guān)于使用PIN和USB棒或者支持NFC的手機(jī)；第二個(gè)相關(guān)協(xié)議UAF支持指紋、語音、虹膜掃描等生物測(cè)定身份識(shí)別技術(shù)。

因?yàn)闆]有密碼輸入，所以我們也就不存在所謂的遺忘密碼或泄露密碼。

而這一次微軟、谷歌、蘋果所希望推行的是一種新的登錄方式。具體來說就是將手機(jī)作為登錄秘鑰，通過手機(jī)在進(jìn)行賬戶登錄時(shí)，存儲(chǔ)一個(gè)基于公鑰加密的FIDO憑據(jù)，以用于訪問其他設(shè)備上的賬戶。

該憑據(jù)只在用戶解鎖手機(jī)時(shí)顯示到在線賬戶，當(dāng)你使用在電腦上登錄網(wǎng)站時(shí)，手機(jī)會(huì)收到系統(tǒng)提示，我們可以通過驗(yàn)證指紋、面部掃描、虹膜或設(shè)備PIN碼解鎖手機(jī)，從而實(shí)現(xiàn)電腦上的對(duì)應(yīng)賬戶登錄。

你可以發(fā)現(xiàn)，企業(yè)正在讓人們從密碼認(rèn)證逐漸轉(zhuǎn)向身份認(rèn)證，從簡(jiǎn)單的數(shù)字字母字符轉(zhuǎn)向更具有安全性的生物識(shí)別設(shè)備上，畢竟密碼知道就可以使用，而你的指紋、面部數(shù)據(jù)、虹膜，乃至于你的手機(jī)和電腦，并不是那么好復(fù)制和獲取的，這是此項(xiàng)技術(shù)的基本根據(jù)。

如今，蘋果、谷歌和微軟等這些巨頭的支持，可以加快FIDO認(rèn)證在消費(fèi)級(jí)市場(chǎng)的推廣?；蛟S在不久的將來，我們就要告別手動(dòng)設(shè)置密碼的時(shí)代了，使用虹膜識(shí)別，0.5秒之內(nèi)實(shí)現(xiàn)無密碼登錄。