前不久發佈的三星S5與iPhone 5S一樣,配備瞭指紋識別技術。但更為重要的是,這一識別器可以與PayPal關連,進而與多種支付系統相連。通過這一過程,你很可能會擺脫密碼,用指紋就可以暢遊網絡。當然,S5的指紋識別技術還不完美,但這隻是一個開始。Google正在開發一款USB鑰匙扣,用它可以直接登陸賬戶;微軟雖然沒有透露更多細節,但亦表示正在考慮尋求替代密碼的另一種方式。
這一切都不是空穴來風,而是建立在一個耗時2年才確立的標準之上。2012年起,FIDO(快速身份在線)聯盟便開始建立連接硬件(如三星的指紋識別器)與在線服務的技術標準。這一項目得到瞭技術和金融巨頭的協助,其中包括Google、微軟、美國銀行和MasterCard。這一計劃歷經數年,耗費瞭數百萬美元,就是為瞭取代密碼,三星S5是FIDO技術規格邁出的第一步。
惱人的密碼
密碼登陸技術始於20世紀60年代,當時多個用戶使用一臺電腦,需要用賬戶與密碼進行區別。當時盜取密碼也不過是惡作劇的一種,也沒有什麼個人信息可泄露。而現在,得到密碼後幾乎可以瞭解一個人的一切,如郵件、網銀、網盤等。而且你可以在任何聯網的地方得到這些信息。密碼的泄露可以造成毀滅性的打擊,每年也耗費數十億美元的維護費。
在2010年,PayPal的安全主管Michael Barrett、指紋識別安全專傢Ramesh Kesanupalli與SSL之父及密碼學者Taher Elgamal舉行會談。Kesanupalli希望擁有新的指紋識別標準,可以不依靠龐大的數據庫來使用識別器;Barrett希望可以用安全簡單的方式登陸PayPal;而Elgamal是這些計劃最好的實行人。兩年後,FIDO聯盟成立,旨在幫助公司擺脫密碼的束縛。在創立之初,FIDO隻有PayPal和5傢硬件公司,但隨後不斷壯大,Google和微軟分別於2013年4月和12月加入。
零信息泄露
FIDO聯盟建立在一個簡單的理念之上:用戶通過指紋識別器登陸電腦,那麼所有站點可以利用Zero-Knowledge Proof(ZKP)技術自動登入。ZKP是一種協議,證明用戶已登陸成功(通過指紋或虹膜識別),而不會透露指紋或虹膜的任何信息。
利用這種協議,一臺簡單的本地設備可以讓你登陸整個網絡。在移動網絡時代,這臺設備很可能就是你的手機。在登陸過程是用正確的手機和正確的指紋進行,這讓安全得到不少提升,因為復制任何一個可能很簡單,但兩者同時進行會很難。
利用ZKP技術,你成功登陸後,服務器之間可以共享授權狀態,從而不需要再次驗證。Google負責驗證事務的主管Mayank Upadhyay表示,長期來看,登陸驗證隻需要在一些觸手可得的設備上進行,如你的手機。
發展的阻礙
精明的讀者可能已經註意到,FIDO聯盟中缺少一個重量級公司——蘋果。蘋果現在仍采用自己的Touch ID技術,這一技術背後的AuthenTec在被蘋果收購後也立即退出瞭FIDO。蘋果與FIDO走的是兩條路,一個閉源,一個開源。Touch ID很可能是FIDO路上的最大障礙。
不過即使FIDO在指紋識別上失利,這也無關大局,它的開放特征令其有很強的適應性。即使三星決定放棄指紋識別,采用虹膜識別,FIDO也會很快做出調整。而網絡服務端的PayPal甚至根本不需要瞭解各種識別技術的不同。而且現在這一標準才剛剛建立,以後可能會出現更先進的識別技術,如DNA掃描和生物節律標記,隻要FIDO保持開放標準,它就能迅速作出反應。
FIDO的賭註是將驗證變得安全且簡單,簡單到不可忽視。誰又會反對一種簡單的登陸方式呢?
via theverge
相關: