设备厂商组建FIDO认证联盟,密码被盗问题将不复存在

标签: 设备 厂商 fido | 发表时间:2013-02-15 09:30 | 作者:张珑馨
出处:http://tech2ipo.com/feed

一项即将出台的新标准将使手机、电脑厂商有机会消灭用户密码被盗问题。

虽然我们的生活中充满了各种密码,但是用来保护网络帐号却并不安全。消灭密码或者减少密码的使用,将大大提高互联网的安全系数。

目前,由PayPal和联想等公司联合成立的“ FIDO联盟”发布了一系列技术标准,将有效降低人们对密码的依赖程度,让网络帐号安全更上一个台阶。

根据FIDO联盟的标准,采用物理密令的方法来登陆帐户,在密码的验证过程中,密令设备将起到更加关键的作用。FIDO联盟首席信息安全官员Michael Barrett说:“消费者的密码凭证可以通过猜测、网络盗取信用证书、网络钓鱼等技术手段获得。FIDO联盟的出现至关重要,因为FIDO则将用户至关重要的密码凭证储存在设备中,使网络犯罪者更难得到这些信息,更难开展网络犯罪。”

加入FIDO联盟之后,电脑和手机厂商将在其设备中植入一颗安全芯片(而现在的绝大部分电脑都内置该芯片),保证用户的帐号、信息安全,个人用户也可以购买采取相应技术的硬件设备,比如说指纹识别器。Barrett说,采取这种公开标准,任何公司都可以来使用并销售符合标准的设备,这样可以扩大新安全技术的使用范围,逐渐取代“密码”在个人帐户安全领域的地位。

加入FIDO联盟的企业可以选择一二级密码或者彻底抛弃密码。Nok Nok实验室总裁Phil Dunkerberger说:“(有了FIDO标准)终于可以摆脱纠缠了我们几十年的密码了。”Nok Nok实验室最近融资1500万美元,开发出符合FIDO认证标准的安全软件。

FIDO联盟的一个目标就是更好地利用电脑硬件中已经自带但是很少使用的安全设备。绝大部分桌面电脑、笔记本电脑和少数平板电脑都搭载有一颗专门用来进行身份识别的TPM芯片。FIDO标准还允许手机制造商用NFC技术来达到TPM芯片相应的功能。据了解,ARM和Intel公司都有医院在未来为手机和平板电脑开发类似于TPM的技术。

安全专家曾一再强调双重认证(即第一步为传统密码,第二部为物理设备认证)的重要性,但是还是很少有用户会使用这样的验证步骤,只有游戏玩家、银行、大公司会采取双重认证的方法。像Google、Dropbox、Facebook等企业都提供双重认证措施,但是只有极小部分的用户会使用。

企业如果要使用FIDO认证方式,只需要在服务器上安装验证软件,然后在客户和员工电脑上安装插件,或者在手机上安装企业应用程序即可。

FIDO认证在验证用户身份时也更安全。传统的验证方法,需要客户端发送密码到远程服务器的密码库中进行比对,但是存在被拦截和破解的风险。而且密码储存在同一个远程服务器上,如果超级管理员帐号被盗,那么损失的不只是一个用户的密码。上个月Twitter密码被盗事件,就是如此。

在FIDO的认证过程中,任何密码都不会被发送出去,而是在手机、电脑的软件中处理。验证通过后,软件发送密钥到登录服务器,不保存任何登陆信息。与此同时,登陆服务器发送密钥到用户设备告知其“已经通过认证”。

FIDO联盟的联合创始人之一Ramesh Kesanupalli说,“所有密码均在一个设备中处理,如果黑客要盗取密码,就得把设备偷走。”

FIDO认证标准的出台已经吸引了黑客的注意。根据调查公司IDC的信息显示,“这么一个大的系统,肯定会吸引无数黑客来寻找漏洞。一旦被攻破一次,FIDO系统就完了。”

为了形成足够大的影响力,FIDO还需要更多企业的加盟。“PayPal的加盟,将给FIDO带来足够的关注度。”目前FIDO联盟主要在讨论技术问题,有关如何商用将在未来进行讨论。

文章来源: TechnologyReview



相关 [设备 厂商 fido] 推荐:

设备厂商组建FIDO认证联盟,密码被盗问题将不复存在

- - TECH2IPO创见
一项即将出台的新标准将使手机、电脑厂商有机会消灭用户密码被盗问题. 虽然我们的生活中充满了各种密码,但是用来保护网络帐号却并不安全. 消灭密码或者减少密码的使用,将大大提高互联网的安全系数. 目前,由PayPal和联想等公司联合成立的“ FIDO联盟”发布了一系列技术标准,将有效降低人们对密码的依赖程度,让网络帐号安全更上一个台阶.

谷歌牵头FIDO联盟发布无密码登录标准

- - cnBeta全文版
今年10月谷歌发布了利用USB秘钥登陆Chrome和Gmail的新方法. 这种技术来自谷歌支持的FIDO联盟,这一联盟旨在推动可以替代用户名和密码的新登陆方式. 该联盟今天发布了无密码访问网站和在线服务的最终通用标准. 在谷歌、PayPal和eBay高管的带领下,FIDO旨在开发能够让用户通过公共密钥进行加密的协议,这比目前的用户名和密码模式更加难以让人破解.

警用设备厂商 Axon 宣布暂时不部署人脸识别技术

- - TechCrunch 中文版
面部识别是一个颇具争议的话题,即使不探讨日常监控和许多警察佩戴随身摄像头的行为,这个话题也已经很有争议了. 但是,Axon(该公司制造了众多此类摄像头)就这个问题征求了一个独立研究委员会的意见,并根据自身调查结果决定暂时不使用面部识别技术. 该公司之前的名称为 Taser,去年成立了 “人工智能与监控技术伦理委员会”(AI and Policing Technology Ethics Board),成员包括来自不同领域的 11 名专家.

Windows MultiPoint Server 2010 已提交OEM 厂商

- Phineux - cnBeta.COM
Windows MultiPoint Server 2010 是一款新的 Windows 产品,可让多个用户同时共享一台计算机. 对于想让更多老师和学生接触技术的教育机构,Windows MultiPoint Server 2010 非常适合,它可以提供经济高效的解决方案. Windows MultiPoint Server 2010 已提交OEM 厂商将在2010年上半年随OEM硬件产品捆绑发行.

Google是怎样控制Android厂商的?

- - PingWest中文网
Google出售摩托罗拉移动,预示着他们放弃了走“软硬件结合”的道路. 这意味着,OEM厂商们将会继续充当Android系统最重要的“分发者”. 为了防止厂商任意“阉割”自己的服务和应用,Google出台了一套Google应用授权协议对厂商进行限制. Google能那么做的原因是,尽管Android仍然是开源的,但包括Play商店、Gmail、Google地图、Google Play Services等在内的Google应用并不是.

Android 升级服务,哪家厂商做得最好?

- Yuancheng - 爱范儿 · Beats of Bits
选择了 Android 系统的智能手机用户,有时会陷入一个怪圈——既期待着 Google 发布新版本,带来激动人心的新功能,又因为厂商漫长的升级过程(甚至不升级)而失望. 在去年,Android 最“主流”的版本是 2.2 Froyo,它从 2010 年 6 月发布,然后各大厂商就宣布提供升级服务——有些机型在几天之内就完成了升级,有些机型等了几个星期或几个月,还有些机型仍在等待中.

Windows笔记本厂商难追赶MacBook Air

- clowwindy - GeekPark 捕风捉影
《PCWorld》网络版周五刊文称,Windows笔记本厂商与苹果MacBook Air之间的竞争近期成为业内关注的焦点之一. 随着苹果今年推出第四代MacBook Air,对其他厂商来说,目前的竞争在于如何推出新款超薄、超轻笔记本. 外界的一大疑问在于,惠普、戴尔、宏碁、三星,以及其他PC厂商为什么无法在MacBook Air之前推出同类笔记本产品.

诺基亚CEO:Android厂商应提防摩托获特殊待遇

- 洞箫 - cnBeta.COM
据国外媒体报道,诺基亚CEO史蒂芬-埃洛普(Stephen Elop)周三表示, Android操作系统的硬件生产商应该对谷歌收购摩托罗拉移动的交易多加防范. 诺基亚已经与谷歌的主要竞争对手微软达成了战略合作关系,而包括三星电子、宏达电和摩托罗拉在内的其他手机厂商则选择押注谷歌Android操作系统.

李彦宏:将与某国际厂商联合推手机

- Woooon - cnBeta.COM
9月2日消息,2011年百度世界大会今日召开. 百度董事长兼CEO李彦宏在接受媒体采访时表示,“百度易”与移动互联网操作系统内容非常相似. 百度已经与一家国际的手机厂商达成协议,推出“百度易”软件平台的手机.

Avast收购安全厂商 直接进入Android安全市场

- 洞箫 - cnBeta.COM
流行的安全套件制造商Avast今日宣布收购手机安全公司ITAgents,这间公司一直在研发Android和Symbian安全应用,主要用于数据保护并提供丢失设备的短信远程控制等功能. Avast没有透露收购价格,因为这两者都是私人持有的公司,因此没有公开的义务.