微软去年11月份开始率先将使用生物识别信息的Windows Hello登录平台内置于Win10操作系统上进行登录验证。
这是一种使用通用第二因素(U2F)无密码认证:其为一个开放认证标准,起初由谷歌和YubiKey开发,让用户使用蓝牙、近场通信(NFC)或USB能无缝登录在线服务和应用目前由FIDO(Fast IDentity Online)联盟运作管理。FIDO协议旨在解决强认证技术给用户带来的不便,以及减少用户登录账户时对使用用户名和密码登录的依赖。FIDO标准协议,目前支持全面的认证技术, 其中包括生物识别技术及现有技术如可信平台模块,USB安全令牌、嵌入式安全元件、智能卡和NFC等。中国菜刀
微软的这一举动,连同几个月前Mozilla Firefox、Microsoft Edge、Opera和Google Chrome,也被认为促进了向无密码网络的转变,这些都支持WebAuthn,其为定义用户基于网页应用和服务的关键标准。
特定场景下当登录某项服务时,会使用用户名(或邮箱或手机号)和密码,确定身份后让你访问。这样会引出的问题是共享凭证后,数据就不再受控制、对个人信息泄露这种事也只能听之任之;而FIDO2则不需要通过密码,而是使用公钥加密(PKE)进行验证,其涉及使用一对加密密钥:一个私钥和一个公钥。
PKE遵循如下理念:如果A向B发送一则不想任何人看到的消息,A会加密该消息,并给B一个公钥;B接到公钥后,会用自己的私钥解密并阅读该消息。还可以这样:这也可以用于验证自己的身份。在这个场景中,发送人A用自己的私钥加密信息,发送给B,其可以用A的公钥进行解密,也就是向A确认该加密信息来自A。天空彩
FIDO2使用的正是这第二种验证方式。所以如果你注册了一项服务,与呈现给你一个正常的带用户名、密码的登录表不同,网站会通过使用一个嵌入网页中的、特别的JavaScript代码进行验证,这个代码与网页验证API标准进行关联,让网页浏览器生成并管理准入网站的加密凭证。简言之,就是一个基于JavaScript的自动填充密码,可以充当客户端(浏览器)和网站web服务器的中间人。此时,就需要用到身份验证器了。验证器既可以内置到操作系统中,如谷歌Android,也可以是Windows Hello面部识别系统,还可以是YubiKey或智能手机这种外部验证。
所以,当使用Chrome或Firefox登录时,服务器发送一长串任意数字和JavaScript代码到登录页面,使用网页验证API让浏览器用您的私钥加密信息,浏览器将这串数字给验证器,验证器再请求你的许可。
其实,采用账户、密码的验证方式早就被认为越来越不安全,密码却一步步变得更加复杂、更加难记。各种验证方式也不断推陈出新,但这种解决方式是否真如想象中那般安全?让实践检验吧。
6515
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
