春节的红包大战,Apple Pay的高调入华,三星也在国内推出了Samsung Pay,以移动支付为代表的互联网金融市场正在蓬勃兴起,移动支付日益普及。然而2015年7月,中国互联网协会发布的《中国网民权益保护调查报告(2015)》显示,中国互联网用户近一年来因个人信息泄露、诈骗信息等问题,导致总体损失约805亿元。互联网支付的安全问题已经不容小觑。
消费者通过扫描不明二维码,点击钓鱼网站发布的恶意链接,甚至只在商场里连接了“公共”WIFI,都有可能将木马植入手机,盗取账户信息及密码,给个人带来直接或间接的经济损失。网络上的各种社交账号,手机上的APP应用,在现代计算环境下,我们登录的已经不再是单一主机,我们在多个平台使用多个应用程序,账号及密码繁冗复杂且不安全。
为什么会这样?因为密码保存在集中式的数据库中,容易被窃,更重要的是它不是为移动设备而来,除了不够安全,密码太多了根本记不住,还不易输入。如今,用户平均每天至少登录5次密码,不仅繁琐而且不安全。超过66%的消费者曾经遇到过在手机上尝试完成交易失败的情况,其中很多次失败的原因都是因为验证解决方案设计或实施不当。
密码经常成为黑客们所谓钓鱼攻击的对象,他们经常可以通过一些欺骗性的邮件让不疑有诈的用户交出密码。此外,还有很多人会在多个账户使用相同的密码,这也是巨大的安全隐患。事实证明,一串字符再也不能保护你的信息安全,亟需另一种更加安全便捷的方式取代。
而FIDO联盟的口号正是“杀死密码”,利用非对称密钥+生物识别替代繁琐、不甚安全的密码,在验证的时候,需同时验证设备和用户的指纹等生物标示。而保证不怕泄露的关键点,就在于,指纹等数据的存储地点,不是在云端的服务器里,而是设备的芯片中,并与设备操作系统区隔开。
FIDO的核心主旨:解决强认证技术之间缺乏互操作性的问题以及用户面临创建并记忆多个用户名和密码的问题,以更便捷、更安全的身份认证标准改变身份认证的本质,它定义了一套开放、可扩展、可互操作的机制,减轻了用户对于密码的依赖。
图 mFIDO U2产品图
信息安全厂商龙脉科技也针对线上快速身份认证推出了安全终端产品mFIDO U2,符合FIDO认证体系的U2F规范,mFIDO U2加密设备使用双因子(密码和能与用户交互的设备)保护用户账户和隐私。用户在注册阶段,使用服务器支持的mFIDO U2加密设备,将账户和设备绑定。当进行登录验证操作时,服务器在合适的时候,提示用户插入设备并进行按键操作,加密设备对数据签名,发送给服务器,服务器做验证,如果验证成功,用户则可登录成功。由于有了第二因子(mFIDO U2加密设备)的保护,用户可以选择不设置密码或者使用一串简单易记的4位密码。
FIDO的理念是将验证变得安全且简单,简单到不可忽视。谁又会反对一种简单又足够安全的登录方式呢?