本文來自微信公眾號：CSDN（ID: CSDNnews）

日前，于巴薩羅那召開的世界移動通信大會（Mobile World Congress，簡稱 MWC）上，Google 和線上快速身份驗(yàn)證聯(lián)盟（Fast Identity Online，簡稱 FIDO 聯(lián)盟）宣布達(dá)成合作，即 Android 正式取得 FIDO 2 認(rèn)證，可實(shí)現(xiàn)無密碼登錄體驗(yàn)，這意味著未來將會有 10 億臺 Android 設(shè)備不再需要輸入密碼就可登陸 App 或者網(wǎng)站。

FIDO 2 標(biāo)準(zhǔn)的誕生

對于 FIDO 聯(lián)盟，想必不少開發(fā)者也并不陌生，其成立自 2012 年 7 月，旨在為解決強(qiáng)制認(rèn)證設(shè)備的交互性和用戶面臨大量復(fù)雜的用戶名和密碼問題。

FIDO 聯(lián)盟于去年正式對外發(fā)布的 FIDO 2 標(biāo)準(zhǔn)是由 W3C 的 Web 身份驗(yàn)證規(guī)范（WebAuthn）和 FIDO 相應(yīng)的客戶端到身份驗(yàn)證協(xié)議（CTAP）組成，可使用戶能夠利用常用設(shè)備輕松地在移動和桌面環(huán)境中對在線服務(wù)進(jìn)行身份驗(yàn)證。

WebAuthn 和 CTAP 工作流

其中，WebAuthn 定義了一個標(biāo)準(zhǔn)的 Web API，通過將 API 接入瀏覽器以及相關(guān) Web 平臺上，使得在線服務(wù)可以調(diào)用 FIDO 身份驗(yàn)證。而 CTAP 協(xié)議可以讓外部設(shè)備（如移動設(shè)備、USB、FIDO 安全密鑰）能夠與 WebAuthn 配合使用，并充當(dāng)桌面應(yīng)用程序和 Web 服務(wù)的身份驗(yàn)證器。

簡單來說，使用 FIDO 2 標(biāo)準(zhǔn)，可以在設(shè)備上通過使用指紋、刷臉、瞳孔等生物識別技術(shù)或搭配 USB 令牌即可完成個人身份驗(yàn)證，而無需使用冗長且繁瑣的密碼。此外，本次 Google 與 FIDO 聯(lián)盟達(dá)成的合作中還包括通過 PIN 碼和點(diǎn)線圖驗(yàn)證, 讓沒有指紋識別模塊的設(shè)備也可以驗(yàn)證。

目前，Google Chrome、微軟 Edge、Mozilla Firefox 三大瀏覽器都已支持了 FIDO 2 認(rèn)證，蘋果的 Safari 瀏覽器也將其作為實(shí)驗(yàn)性功能正在測試中。此外，F(xiàn)IDO 聯(lián)盟的成員還包括 Facebook、GitHub、Dropbox、eBay 等主流公司及平臺。

密碼的消亡

而之所以會有這種方式的出現(xiàn)，主要還是因?yàn)楫?dāng)前的密碼登錄方式已經(jīng)完全無法滿足大數(shù)據(jù)時代的安全性需求。現(xiàn)實(shí)來看，去年 3 月，F(xiàn)acebook 因泄露門事件導(dǎo)致 5000 萬用戶數(shù)據(jù)被竊??；6 月，彈幕網(wǎng)站鼻祖 A 站受黑客攻擊，包含用戶 ID、用戶昵稱、加密存儲的密碼的近千萬條用戶數(shù)據(jù)外泄；12 月，有網(wǎng)友爆料，陌陌 3000 萬條數(shù)據(jù)在暗網(wǎng)出售……這些隨時發(fā)生的事件也無時無刻不在提醒著我們，“世上沒有不透風(fēng)的墻”，且根據(jù)中國消費(fèi)者協(xié)會的發(fā)布的《App 個人信息泄露情況調(diào)查報(bào)告》顯示，中國 85.2% 的 App 用戶曾遭遇數(shù)據(jù)泄露。

事實(shí)上，市面中不少應(yīng)用程序進(jìn)行的身份驗(yàn)證，采取的還是基于共享密鑰的方式，即服務(wù)器端和用戶共同擁有一個或一組密碼。在用戶進(jìn)行身份驗(yàn)證時，用戶輸入密碼和服務(wù)器端進(jìn)行匹配，若一致，則判定用戶為合法用戶。但殊不知這種方式，極為容易受到黑客攻擊，雖然不少企業(yè)也采取了加密算法措施，但還是難以避免數(shù)據(jù)泄露事件的發(fā)生。

如今 FIDO 2 標(biāo)準(zhǔn)的落地，規(guī)定了用戶的數(shù)據(jù)即生物識別或 PIN 碼可以在本地進(jìn)行身份驗(yàn)證，因此不會將私人信息傳輸?shù)接脩舻卿浀膽?yīng)用和服務(wù)，這樣網(wǎng)站通過相關(guān)標(biāo)準(zhǔn)的參數(shù)在不直接接觸數(shù)據(jù)的前提可以完成用戶身份驗(yàn)證，極大地提高了數(shù)據(jù)的安全性。

寫在最后

如今 Android 7 及以上版本均獲得了 FIDO 2 的認(rèn)證，密碼的登錄方式顯然終將會被逐漸淘汰。在此值得注意的是，只有當(dāng)開發(fā)者在 Web 應(yīng)用程序和登錄頁面中添加無密碼身份驗(yàn)證，并通過 Android 系統(tǒng)中 Google Play Service 才可以快速獲得此新功能。當(dāng)前國內(nèi)如支付寶、京東支付等主流應(yīng)用均也已加入了 FIDO 標(biāo)準(zhǔn)，但是想要讓所有的應(yīng)用及國內(nèi)的瀏覽器都能實(shí)現(xiàn)無密碼登錄，可能還需要等待一定的時間。

參考資料：

fidoalliance

Android-7-update-fido-alliance-fido2-password-free-authentication

本文來自微信公眾號：CSDN（ID: CSDNnews）