生活在一个没有密码的世界是许多科技爱好者梦寐以求的未来。至于这项技术的发展高峰,没有ETA,也没有进度条,但它的到来是必然的。密码已经过时,容易忘记,而且通常不安全,即使您采取了额外的措施,如双因素身份验证。像许多即将到来的主要趋势一样,谷歌是其中之一。考虑到该公司拥有最流行的移动操作系统、Web浏览器和搜索引擎,这并不奇怪。在过去的两年里,谷歌一直在与微软和其他合作伙伴合作开发这项技术。昨天,该公司向无密码功能又迈进了一大步。
FIDO联盟昨天在世界移动大会上宣布,安卓现在已经通过FIDO2认证。如果你以前从未听说过,FIDO联盟是一个致力于定义无密码认证标准的协会。联盟的部分成员包括谷歌、脸书、GitHub、Dropbox、易贝等。过去两年,FIDO联盟与来自世界各地的合作伙伴一起致力于FIDO2认证。
除了常规日期密码在便捷性和可用性上有明显提升外,FIDO2协议还提供了更好的安全性。可以看出,传统上,密码认证的过程如下:用户和服务都在服务器和设备上存储一个密钥。在认证过程中,用户将密码发送到服务器,然后在服务器上对密码进行加密,并根据存储的密钥进行检查。如果密钥匹配,用户可以访问他们的帐户/内容。现在,这种方法有一个很大的缺陷:认证密钥存储在两个不同的位置,这使得它们更容易受到2倍的攻击。的确,有一些方法(如端到端加密)可以防止它们,但黑客总是想出新的方法来利用这些明显的缺陷。
FIDO2协议仅在离线条件下将认证密钥存储在用户设备上。因此,它更安全,更可靠,更容易使用。现在,所有运行安卓7.0牛轧糖或更高版本的移动设备都可以使用FIDO2认证。移动和网络应用程序的开发人员已经可以使用应用编程接口将功能实现到他们自己的服务中。
2:更新2:谷歌账号
从今天开始,从Pixel设备开始,谷歌开始在Android 7设备上为谷歌账号引入FIDO2无密码认证。在访问一些谷歌服务时,用户可以使用指纹或屏幕锁定方法,而不是输入密码。这意味着用户可以注册他们的手指一次,然后将它们用于一系列本机和网络服务。指纹永远不会被发送到谷歌的服务器。