近日,接连爆出重大数据泄漏事故的美国电信运营商T-Mobile宣布了一项重大安全更新措施。该公司已购买了超过20万枚符合FIDO标准的硬件安全密钥,以增强其信息系统的网络安全防护能力,防范潜在的数据泄露风险。这些外形类似小型USB设备的硬件安全密钥已分发给T-Mobile员工及授权零售供应商,用于防止对敏感数据和网络的未授权访问。
随着用户登录凭证泄露的网络安全事件不断爆出,如今,越来越多的科技公司意识到了口令的脆弱性,正逐步转向更安全的身份认证方式,如生物识别、硬件认证等等。2023年底,T-Mobile开始采用FIDO技术,向员工和供应商提供硬件安全密钥,为抵御未授权访问构筑了坚固防线,同时减少了对口令等较不安全的身份认证方式的依赖。
除T-Mobile外,谷歌、脸书、苹果、亚马逊和推特(X)等其他科技公司也纷纷采纳了这一方法,鼓励员工使用硬件安全密钥进行账户访问。例如,谷歌早在2017年就开始向员工提供硬件安全密钥,随后推特和Discord也纷纷效仿。不过,这些公司通常不会免费提供这些价格在20至49美元之间的设备,而是采用“自带设备”(BYOD)策略,允许员工自行购置标准化的硬件安全密钥并为其报销费用,从而更好地适应员工的个性化需求并降低成本。
FIDO正在从本质上改变着互联网身份认证。
FIDO联盟成立于2012年,致力于安全强度更高、使用更方便且更易于部署的身份鉴别(simpler stronger authentication)。联盟制定了FIDO UAF、FIDO U2F、FIDO2等一系列“无密码”(passwordless)规范,帮助减少全球对密码(口令)的过度依赖。FIDO联盟与W3C组织合作创建了“无密码”登录标准WebAuthn,该标准已经被数十亿设备以及Google Chrome、Mozilla Firefox,Microsoft Edge、Apple Safari等现代网络浏览器所支持。除谷歌之外,FIDO联盟成员还包括微软、苹果、三星、ARM、Intel等等。飞天诚信于2014年加入FIDO联盟,目前是FIDO联盟董事会成员。
Passkey是FIDO联盟推出的一种身份认证解决方案,已被苹果、谷歌和微软等科技巨头采用。该方案旨在替代传统的密码(口令),提供更高的安全性,同时减少用户记忆和输入密码的烦恼。具体而言,Passkey是基于FIDO2/WebAuthn标准的登录验证文件,包含公钥和私钥。用户注册时使用公钥,私钥则安全存储在用户设备(例如硬件安全密钥)中。由于公钥和私钥的分离,用户的登录凭据分别保存在云端和本地,有效降低了用户登录凭证被攻击者窃取的风险。Passkey的主要优势在于其简便性和安全性。用户可以通过生物识别(如面部识别或指纹)或硬件安全密钥来验证身份,从而登录账户,而无需记忆复杂密码。这不仅提高了账户的安全性,还大大简化了登录过程。例如,Google Chrome浏览器提供了便捷的方式来设置和同步Passkey,使其在不同设备间无缝使用。又例如,自从亚马逊采用Passkey以来,已有超过1.75亿用户在亚马逊购物平台上启用了Passkey功能。据亚马逊统计,使用Passkey登录的速度是其他方式的6倍。
飞天诚信构建了丰富的FIDO硬件安全密钥(FIDO Security Key)产品线,全线产品通过FIDO认证,其安全性能够满足NIST SP 800-63B中最高级别(AAL3)的要求。用户可以通过USB-A、USB-C接口、NFC或BLE接口将FEITIAN FIDO Security Key连接到电脑或手机,快速、安全地完成账号登录或单点登录。飞天诚信FIDO系列产品现已支持Google、AWS等众多在线服务。
——THE END——
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...