Android 设备正在“绞杀”密码

本文来自微信公众号：CSDN（ID: CSDNnews）

日前，于巴萨罗那召开的世界移动通信大会（Mobile World Congress，简称 MWC）上，Google 和线上快速身份联盟（Fast Identity Online，简称 FIDO 联盟）宣布达成合作，即 Android 正式取得 FIDO 2 认证，可实现无密码登录体验，这意味着未来将会有 10 亿台 Android 设备不再需要输入密码就可登陆 App 或者网站。

FIDO 2 标准的诞生

对于 FIDO 联盟，想必不少开发者也并不陌生，其成立自 2012 年 7 月，旨在为解决强制认证设备的交互性和用户面临大量复杂的用户名和密码问题。

FIDO 联盟于去年正式对外发布的 FIDO 2 标准是由 W3C 的 Web 身份验证规范（WebAuthn）和 FIDO 相应的客户端到身份验证协议（CTAP）组成，可使用户能够利用常用设备轻松地在移动和桌面环境中对在线服务进行身份验证。

WebAuthn 和 CTAP 工作流

其中，WebAuthn 定义了一个标准的 Web API，将 API 接入浏览器以及相关 Web 平台上，使得在线服务可以调用 FIDO 身份验证。而 CTAP 协议可以让外部设备（如移动设备、USB、FIDO 安全密钥）能够与 WebAuthn 配合使用，并充当桌面应用程序和 Web 服务的身份验证器。

简单来说，使用 FIDO 2 标准，可以在设备上通过使用指纹、刷脸、瞳孔等生物识别技术或搭配 USB 令牌即可完成个人身份验证，而无需使用冗长且繁琐的密码。此外，本次 Google 与 FIDO 联盟达成的合作中还包括通过 PIN 码和点线图验证, 让没有指纹识别模块的设备也可以验证。

目前，Google Chrome、微软 Edge、Mozilla Firefox 三大浏览器都已支持了 FIDO 2 认证，苹果的 Safari 浏览器也将其作为实验性功能正在测试中。此外，FIDO 联盟的成员还包括 Facebook、GitHub、Dropbox、eBay 等主流公司及平台。

密码的消亡

而之所以会有这种方式的出现，主要还是因为当前的密码登录方式已经完全无法满足大数据时代的安全性需求。现实来看，去年 3 月，Facebook 因泄露门事件导致 5000 万用户数据被窃取；6 月，弹幕网站鼻祖 A 站受黑客攻击，包含用户 ID、用户昵称、加密存储的密码的近千万条用户数据外泄；12 月，有网友爆料，陌陌 3000 万条数据在暗网出售……这些随时发生的事件也无时无刻不在提醒着我们，“世上没有不透风的墙”，且根据中国消费者协会的发布的《App 个人信息泄露情况调查报告》显示，中国 85.2% 的 App 用户曾遭遇数据泄露。

事实上，市面中不少应用程序进行的身份验证，采取的还是基于共享密钥的方式，即服务器端和用户共同拥有一个或一组密码。在用户进行身份验证时，用户输入密码和服务器端进行匹配，若一致，则判定用户为合法用户。但殊不知这种方式，极为容易受到黑客攻击，虽然不少企业也采取了加密算法措施，但还是难以避免数据泄露事件的发生。

如今 FIDO 2 标准的落地，规定了用户的数据即生物识别或 PIN 码可以在本地进行身份验证，因此不会将私人信息传输到用户登录的应用和服务，这样网站通过相关标准的参数在不直接接触数据的前提可以完成用户身份验证，极大地提高了数据的安全性。

写在最后

如今 Android 7 及以上版本均获得了 FIDO 2 的认证，密码的登录方式显然终将会被逐渐淘汰。在此值得注意的是，只有当开发者在 Web 应用程序和登录页面中添加无密码身份验证，并通过 Android 系统中 Google Play Service 才可以快速获得此新功能。当前国内如支付宝、京东支付等主流应用均也已加入了 FIDO 标准，但是想要让所有的应用及国内的浏览器都能实现无密码登录，可能还需要等待一定的时间。

参考资料：

fidoalliance

Android-7-update-fido-alliance-fido2-password-free-authentication

本文来自微信公众号：CSDN（ID: CSDNnews）