FIDO 联盟和 Google 在世界通讯大会(MWC)上宣布 Android 取得 FIDO 2 认证,将可使未来数十亿部手机和移动设备无需输入密码来登入 app 或网站。
未来任何 Android 7.0 以上的设备在更新 Google Play Services 后,都将符合 FIDO 2 认证,使用者即可通过手机内建的指纹识别器,或是 FIDO 标准的硬件金钥,来登入支持 FIDO 2 协定的原生 app 或网站。网页及 app 开发商也可通过一个 API 呼叫为其 Android app 及网站加入 FIDO 强验证机制,让用户不再需要记忆及输入密码,又能免于登上钓鱼网站的风险。
Google 很早就和 FIDO 联盟及 W3C 合作推动 FIDO2 协定的标准化。2014 年 Chrome 就支持 FIDO2 登入验证,让用户可以 USB 硬件金钥 YubiKey 经由 Chrome 登入支持 FIDO2 的网站,包括 Google 旗下服务。去年 8 月 Google 甚至推出自己的硬件金钥 Titan。
事实上,经过近年来的推广,FIDO2 已获得普遍支持。三大浏览器包括 Google Chrome、Microsoft Edge 和 Mozilla Firefox 都已支持 FIDO2,苹果 Safari 的支持则在预览版阶段。而除了 Google,FIDO2 联盟会员还包括 GitHub、Facebook、Dropbox 及 eBay、英特尔等科技与互联网服务大厂。
这项宣布也将进一步加速密码的终结。密码难以记忆、在手机上不易输入,最大的问题是并不安全。一般程度的密码可以暴力破解,即使现在越来越多的服务支援双因素验证,但近来被破解的新闻也时有可闻。相较之下,FIDO2 只要搭配 USB 或蓝牙/NFC 硬件即可完成验证,不但使用更简单,它还能防范免于网钓、中间人(Man-in-the-Middle)攻击,以及其利用被窃帐密而发动的攻击。
根据 Google 的统计,目前全球搭载 Android 的设备中,Android 7.0 (Nougat) 以上版本的比例为 49.7%。若按照 Android 在移动设备 74.45% 的占比计算,全世界超过三分之一的移动设备很快就不再需要输入密码登入主要网站和 app。
微信扫一扫