Apple加入行业努力来消除密码
对于Apple的一些不寻常的举措,该公司已加入快速身份(FIDO)联盟,一个致力于用另一个替换密码,更快更安全地登录在线服务和应用程序的身份验证标准组。
Apple是加入Fido的最后一个技术Bigwig,其成员现在包括亚马逊,Facebook,谷歌,英特尔,Microsoft,RSA,三星,Qualcomm和VMware。本集团还拥有十几家金融服务公司,如美国运通,英国大师,贝宝,签证和井法戈。
“Apple通常不会在加入新组织方面前进,并且经常等待在加入之前等待他们获得足够的牵引力。这对他们来说是相当的,”J.Gond Associates的总裁兼首席分析师Jack Gold说。“苹果往往努力展示自己的建议行业标准,以广泛采用,但一般不是真正的多供应商行业标准的早期采用者。
“Fido现在有足够的势头,我认为苹果感受到加入的压力,”他说。“特别是在基于云的世界中,Fido是认证公司真的不能忽视的重要倡议。”
Gartner安全与隐私高级总监David Mahdi表示,Apple的举动是值得注意的。
“实现了无密码世界是一个重要的一步,”马赫迪说。“Apple Joining是一项重要的一步。”
FIDO在2012年形成的目的是推动服务和应用的双因素身份验证,因为密码是不安全的。根据Verizon的数据违约调查报告,研究支持本集团的索赔,占黑客的所有安全漏洞都可以追溯到被盗或密码差。
“如果您依靠用户名/电子邮件地址和密码,则将骰子滚动到您的客户设备上的其他违规或恶意软件的密码重新使用,”Verizon在其报告中表示。
与W3C一起,Fido写道并使用新兴的Web身份验证API(更好地称为WebAuthn)。WebAuthn规范已经支持 - 到不同程度 - 由谷歌“S Chrome,Mozilla的Firefox和Microsoft”边缘等主要浏览器。这些浏览器还支持使用U2F令牌创建云凭证创建,可以使用蓝牙,NFC或USB为在线服务和应用程序提供双因素身份验证。
2018年,Apple宣布正在为Safari的WebAuthn协议添加“实验”支持。12月,Apple增加了符合Fido标准的安全钥匙的本机支持,例如来自YubiCo和Feian的ybian,它在iOS 13.3中使用WebAuthn标准,USB,USB或Lightning。
“Fido就像是用于身份验证的蓝牙 - 这意味着我们有许多具有可用于提供身份验证的功能和功能的设备,”Mahdi表示。
例如,Mahdi表示,移动设备或笔记本电脑可以使用指纹读取器或面部识别技术来启用登录。可以利用任何技术进行身份验证,但没有一种通用语言,很难做到和所需的专有驱动程序和软件。
“因此,可靠地实现强大的认证,更复杂,”Mahdi说。“像蓝牙一样的Fido允许应用程序开发人员和安全领导者能够启用强身份验证(在移动应用程序或网站或网站上)以涵盖具有最小代码的设备中可用的各种身份验证方法[而无需担心许多专有司机]。“
总体而言,FIDO的规范意味着银行,电子商务网站和其他人可以通过其设备识别用户,而不是使用用户名和密码来识别数字服务。例如,用户可以注册在线服务,创建用户名,注册其设备,并选择首选认证方法(即手指或面部和/或引脚)。Mahdi说,没有需要密码。
Fido的规格如何运作
Fido的规范通过使任何人使用它来获得使用私钥和公钥对访问应用程序或在线服务的原理。
当用户使用在线服务(例如PayPal)寄存器时,验证者设备(服务器)创建一个唯一的私有/公钥对。私钥存储在用户的设备上,而公钥通过在线服务或应用程序与该设备相关联。
通过客户服务器向用户设备发送电子挑战的客户服务器执行身份验证。只有在用户在设备上本地解锁后,才能使用客户端的私钥。本地解锁是通过诸如生物识别读取器(即指纹扫描或面部识别)的安全动作来完成,进入引脚,讲话到麦克风,或插入第二因子设备。
吖.根据Fido成员和认证供应商Yubico,U2F是一个开放式身份验证标准,使Internet用户能够立即使用一个安全键和无需驱动程序或客户端软件访问。Fido2是U2F协议的最新一代。
去年4月,谷歌加入了该联盟,作为其创建新的在线身份管理工具的一部分。Google通过Fido为Android 7及以上设备的规范增加了双因素身份验证。
Jamf是Mac平台的多因素企业身份验证管理软件的提供商,上个月加入Fido。
“随着我们支持许多这些多因素设备和不同的身份提供商,它必须很快很复杂,”Jamf Connect,Apple Mac认证和身份管理产品的主任Joel Rennich说。“我们仍然存在我们需要回到密码的问题。在Mac上,没有内置的方式支持您的用户凭据而无需输入密码。但是,Apple确实拥有一个非常强大的智能卡安装。“
Rennich表示,JAMF采用FIDO认证协议,因为它是“令人难以置信”的安全性,并且由于行业支持广泛而允许大量的灵活性。特别是因为FIDO使用高度安全的椭圆曲线密码学 - 例如,Apple Secure Candave - Jamf现在可以利用该技术来创建对iPhone的企业级访问。
“所以,我们可以使用该设备中的硬件与FIDO协议一起使用,以最少的努力。......这使得发展真的很快,“莱尼希说。
虽然它尚未发货,JAMF还创建了一个虚拟智能卡,允许用户使用椭圆曲线加密配对键在云中登录MAC设备,同样的方式与Fido的规范相同。
“我们不在这里为Apple说话......,但当然,您可以看到他们在这种环境中做了更多的工作。我认为这是一个坚实的基础。这是一个很好的标准,“莱尼希说。“我们希望Apple用它做更多。但与此同时,我们希望能够在登录窗口中带入登录窗口,并使用FIDO验证器到MAC。“