谷歌刚刚宣布了与FIDO 联盟达成的最新合作，为 Android 用户带来了无需密码、即可登录网站或应用的便捷选项。这项服务基于 FIDO2 标准实现，任何运行 Android 7.0 及后续版本的设备，都可以在升级最新版 Google Play 服务后，通过指纹或 PIN 码来登录常用的应用或网站。

尽管定期更换复杂密码是保证账户安全的一个有效途径，但它们通常冗长且难以记忆（除非你使用统一的密码管理器）。

此外，双因素认证也是一个实用的选项，只是用起来可能较为繁琐，尤其是经常需要满世界跑的人们。

好消息是，得益于谷歌与FIDO 联盟达成的这项最新合作，我们有望迎来更加安全、便捷的登录选项，比如通过难以窃取或复制的生物识别数据。

值得一提的是，FIDO2 标准还规定了对身份验证数据进行本地处理，因此不会将任何私密信息传输到服务端。

FIDOAlliance，线上快速身份验证联盟(Fast IDentity Online Alliance)，www.fidoalliance.org，成立于2012年7月，旨在解决强认证技术之间缺乏互操作性的问题，并致力于解决用户在创建和记忆多个用户名和密码时遇到的问题。FIDO联盟正在改变身份验证的性质，采用更简单、更强大的身份验证标准，定义了一组开放、可扩展、可互操作的机制，以减少对密码的依赖。在向在线服务进行身份验证时，FIDO身份验证功能更强大、更私密、更简化。

FIDO2是一种新的身份验证标准，包括W3C的WebAuthn及FIDO协会的CTAP (Client-to-Authenticator Protocol)规格，让使用者在桌机或手机上透过支持的浏览器或是实体金钥，不需输入任何用户帐号或密码也可以完成Web服务的身份验证。透过将验证金钥存放于晶片或Windows 10中的信赖平台模组（trusted platform module，TPM），还有助于防止用户误上钓鱼网站。

新的FIDO2规范在浏览器和操作系统中的标准化将进一步扩大FIDO身份验证的范围，FIDO身份 验证被全球监管机构和标准制定机构引用，并通过Google、Facebook、NTTDOCOMO、美国银行等企业所提供的服务，在全球范围内用于数亿台设备，用户超过35亿。 新规范对现有的无密码FIDO UAF和第二因素FIDO U2F用例进行了补充，并扩展了FIDO认证的可用性。FIDO2网络浏览器和在线服务完全向后兼容所有之前获得认证的FIDO安全密钥。

早在2018年4月份，这项标准获得微软、Google及Facebook等大厂的支持。Google Chrome、Microsoft Edge及Mozilla Firefox都宣布支持FIDO2，微软也让Windows Hello加入支持。

根据谷歌仪表板上的最新数据，全球约一半的 Android 设备，已做好了对 FIDO 登录提供支持的准备。

使用FIDO身份验证器加载到设备上的在浏览器中运行的Web应用程序，可以通过密码操作代替密码交换，或除了密码交换之外，还可为服务提供者和用户带来诸多益处：

更简单的身份验证：

用户只需使用一种手势登录。

• PC、笔记本电脑和/或移动设备中的内部或内置认证器（如指纹或面部生物识别技术）

  
  

• 使用CTAP进行设备到设备认证的外部认证器（如安全密钥和移动设备），一个由FIDO联盟开发的用于补充WebAuthn的外部认证器协议。

更强的身份验证：

FIDO身份验证比单纯依赖密码和相关身份验证方式要强大得多，并具有以下优点。

• 用户证书和生物识别模板永远不会离开用户的设备，也不会存储在服务器上。

• 帐户可以免受网络钓鱼，中间人攻击和使用被盗密码的反复攻击。

• 开发人员可以开始在FIDO新的开发者资源页面上创建利用FIDO身份验证的应用程序和服务。

谷歌身份安全产品经理Christian Brand 表示：这项技术有一个经常被忽视的要点 —— 不允许用户使用生物识别技术登录。

如果你的设备未配备指纹传感器，Android 也允许通过其它方式（PIN 码或点线图）进行身份验证。实际上，以移动网银为主的许多 App（以及 Chrome、Edge、Firefox 等现代浏览器），都已经支持类似的便捷登录功能（点线图、扫脸、或指纹登录）。

尽管当前并非所有 App/ 服务提供商都支持 FIDO 登录，但只要开发者有心，都可以借助相关 API 来提供支持。

参考来源：

• w3.org

• 财经头条

• 阿里云

征题正在火热进行中！

（晋级赛Q1即将于3月10日开启，敬请期待！）

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com