事件回顾
5月5日是“世界密码日”,苹果、谷歌和微软三家公司选择在这一天宣布发起“联合行动”来消灭密码。三家科技巨头计划“扩大对由FIDO联盟和万维网联盟创建的通用无密码登录标准的支持”,也就是“多设备FIDO凭证”或万能密钥(passkey)。
简单来说,这个新的“无密码”方案可以把你的手机变成免密码登录的身份验证器,用户登录应用程序或网站时会向手机推送身份验证请求,用户只需解锁手机,使用密码或生物识别在手机上进行身份验证授权,即可完成登录。万能密钥(passkey)可取代密码。
近期,网络中各种传言,说万能密钥(passkey)可替代密码。天帷信安根据多年商用密码应用研究实践经验,对该说法作如下分析:
天帷解析
1、该说法中所谓的“密码”,是指手机用户的口令,而不是真正意义上的“密码”。
2、FIDO联盟公布“无密码强认证”安全协议技术草案
线上快速身份验证联盟(FIDO)成立一周年之际发布了FIDO协议的技术规范草案,有望简化web服务的安全认证并“消灭密码”。
FIDO的目标是创建一组新的协议,支持对web应用持续地、安全地、无需密码的访问(即所谓的非密码强认证),对于互联网公司来说,随着重大数据泄露事故的频发,过去基于密码的在线身份验证技术已经难以维持互联网经济的稳定发展,安全界关于“密码已死”的呼声越来越高。而FIDO联盟正是在这个背景下应运而生的一个推动去密码化的强认证协议标准的组织。FIDO的会员包括Nok Nok Labs、Google、BlackBerry、ARM、英特尔、PayPal、Lenovo、RSA、微软和MasterCard。
FIDO的主要使命是以创建行业标准的方式保证各个厂商开发的强认证技术之间的互操作性,用简化的双因子甚至多因子认证技术结束多年来消费者记忆密码的烦恼。加入FIDO联盟之后,电脑和手机厂商将在其设备中植入一颗专门用来进行身份识别的TPM芯片,FIDO标准还允许手机制造商用NFC技术来达到TPM芯片相应的功能。据了解,ARM和Intel公司都有意愿在未来为手机和平板电脑开发类似于TPM的技术。
FIDO认证协议的工作原理,用户可以使用智能手机指纹采集器、USB令牌等多种方式登录,服务商无需再维护复杂且成本高昂的认证后台。FIDO通过两个子协议实现安全登录(验证)。U2F标准是关于使用PIN和USB棒或者支持NFC的手机;第二个相关协议UAF支持指纹、语音、虹膜扫描等生物测定身份识别技术。
今后用户只需要自苹果手机上扫描指纹就可以登录支持FIDO的服务如PayPal。其工作原理如下图:
FIDO技术规范的发布标志着FIDO在标准化的道路上迈出了重要一步,据悉FIDO将通过W3C或IETF等标准组织正式发布技术标准。FIDO标准将基于电子商务交易的基础安全协议SSL。新的FIDO规范采用了设备为中心的模型,强调可用性、私密性和安全性,定位于Oauth认证技术的补充。
FIDO技术规范草案目前开始接受公众评估,基础协议开源,但是由Nok Nok Labs开发的基于FIDO协议开发的中间件安全技术属于私有的闭源技术。
从FIDO技术规范草案中可得出以下推论:
结论分享
1、“万能密钥”(passkey)只是表面上简化了web服务的安全认证,实际上强化了安全认证,并不是消灭了真正的“密码”。
2、电脑和手机厂商将在其设备中植入TPM芯片,而TPM芯片是一种安全的加密处理器,专为加密操作而设计,包括设备身份验证、加密、识别和完整性验证等功能,从技术机制上强化了密码产品、技术的深度融合应用。
3、使用了基础安全协议SSL,保证了“多设备FIDO凭证”或万能密钥(passkey)的安全应用。
综上所述,“万能密钥”仅是在某些环节杀死了“口令”,但是其技术原理是在通过广泛应用TPM芯片、SSL等密码产品技术的基础上实现了WEB服务的强身份认证,不仅没有杀死“密码”,相反,是密码技术的更广泛应用。
事件回顾
5月5日是“世界密码日”,苹果、谷歌和微软三家公司选择在这一天宣布发起“联合行动”来消灭密码。三家科技巨头计划“扩大对由FIDO联盟和万维网联盟创建的通用无密码登录标准的支持”,也就是“多设备FIDO凭证”或万能密钥(passkey)。
简单来说,这个新的“无密码”方案可以把你的手机变成免密码登录的身份验证器,用户登录应用程序或网站时会向手机推送身份验证请求,用户只需解锁手机,使用密码或生物识别在手机上进行身份验证授权,即可完成登录。万能密钥(passkey)可取代密码。
近期,网络中各种传言,说万能密钥(passkey)可替代密码。天帷信安根据多年商用密码应用研究实践经验,对该说法作如下分析:
天帷解析
1、该说法中所谓的“密码”,是指手机用户的口令,而不是真正意义上的“密码”。
2、FIDO联盟公布“无密码强认证”安全协议技术草案
线上快速身份验证联盟(FIDO)成立一周年之际发布了FIDO协议的技术规范草案,有望简化web服务的安全认证并“消灭密码”。
FIDO的目标是创建一组新的协议,支持对web应用持续地、安全地、无需密码的访问(即所谓的非密码强认证),对于互联网公司来说,随着重大数据泄露事故的频发,过去基于密码的在线身份验证技术已经难以维持互联网经济的稳定发展,安全界关于“密码已死”的呼声越来越高。而FIDO联盟正是在这个背景下应运而生的一个推动去密码化的强认证协议标准的组织。FIDO的会员包括Nok Nok Labs、Google、BlackBerry、ARM、英特尔、PayPal、Lenovo、RSA、微软和MasterCard。
FIDO的主要使命是以创建行业标准的方式保证各个厂商开发的强认证技术之间的互操作性,用简化的双因子甚至多因子认证技术结束多年来消费者记忆密码的烦恼。加入FIDO联盟之后,电脑和手机厂商将在其设备中植入一颗专门用来进行身份识别的TPM芯片,FIDO标准还允许手机制造商用NFC技术来达到TPM芯片相应的功能。据了解,ARM和Intel公司都有意愿在未来为手机和平板电脑开发类似于TPM的技术。
FIDO认证协议的工作原理,用户可以使用智能手机指纹采集器、USB令牌等多种方式登录,服务商无需再维护复杂且成本高昂的认证后台。FIDO通过两个子协议实现安全登录(验证)。U2F标准是关于使用PIN和USB棒或者支持NFC的手机;第二个相关协议UAF支持指纹、语音、虹膜扫描等生物测定身份识别技术。
今后用户只需要自苹果手机上扫描指纹就可以登录支持FIDO的服务如PayPal。其工作原理如下图:
FIDO技术规范的发布标志着FIDO在标准化的道路上迈出了重要一步,据悉FIDO将通过W3C或IETF等标准组织正式发布技术标准。FIDO标准将基于电子商务交易的基础安全协议SSL。新的FIDO规范采用了设备为中心的模型,强调可用性、私密性和安全性,定位于Oauth认证技术的补充。
FIDO技术规范草案目前开始接受公众评估,基础协议开源,但是由Nok Nok Labs开发的基于FIDO协议开发的中间件安全技术属于私有的闭源技术。
从FIDO技术规范草案中可得出以下推论:
结论分享
1、“万能密钥”(passkey)只是表面上简化了web服务的安全认证,实际上强化了安全认证,并不是消灭了真正的“密码”。
2、电脑和手机厂商将在其设备中植入TPM芯片,而TPM芯片是一种安全的加密处理器,专为加密操作而设计,包括设备身份验证、加密、识别和完整性验证等功能,从技术机制上强化了密码产品、技术的深度融合应用。
3、使用了基础安全协议SSL,保证了“多设备FIDO凭证”或万能密钥(passkey)的安全应用。
综上所述,“万能密钥”仅是在某些环节杀死了“口令”,但是其技术原理是在通过广泛应用TPM芯片、SSL等密码产品技术的基础上实现了WEB服务的强身份认证,不仅没有杀死“密码”,相反,是密码技术的更广泛应用。
