【摘要】面对层出不穷的密码安全事故与隐患,以及应对未来个人拥有手机、汽车、无人机、机器人等多终端多操作系统环境的需求,苹果、微软、谷歌联手在2022年世界无密码日上宣布要将更安全、更高效的无密码技术推向前台,而这一次,国产软件企业与科技巨头们一同走向使命的前沿。
据统计,61% 的数据泄露事件涉及登录凭据均由密码安全问题引起,专家给出的安全密码建议是,密码长度至少12位数包含大小写字母、数字及特殊符号,并且每90天至少更换一次。但是达到以上密码安全标准,且不重复使用密码,对普通用户来说无疑是一种负担。面对层出不穷的密码安全事故与隐患,以及应对未来个人拥有手机、汽车、无人机、机器人等多终端多操作系统环境的需求,苹果、微软、谷歌联手在2022年世界无密码日上宣布要将更安全、更高效的无密码技术推向前台,而这一次,国产软件企业与科技巨头们一同走向使命的前沿。
2022年9月3日,以“服务合作促发展–绿色创新迎未来”为主题的中国国际服务贸易交易会(以下“服贸会”)仍在火热进行。这个全球服务贸易领域非常重要的综合性展会聚集了该领域的新技术、新应用、新服务,吸引了全球七十多个国家和国际组织以及数千家企业参展,各方在场相互交流学习,共同探讨领域新趋势,共享新机遇。
在本届服贸会上,一砂作为IIFAA联盟副理事长单位,与阿里云一同受德勤中国的邀请出席服贸会活动,并和德勤、阿里云一起先后进行了主题演讲。
一砂解决方案总监张盛毅先生在演讲中,以《网络安全热点之无密码认证解读》为题,向全球企业代表分享一砂对于数字身份行业未来发展的思考。微软对超过30亿个公司账户进行了密码重用分析,结果是惊人的,因为有至少4400万个帐户使用已泄露的密码,并且,约20%的互联网用户重复使用密码,另有27%的用户使用的密码与其他账户密码几乎相同。
英国《路透社》报道称,网络安全组织Awake Security于2020年发布了一份公开报告,指出谷歌公司旗下的浏览器——Chrome存在严重漏洞。经统计,大约3200万用户的密码很有可能已经被黑客窃取。
2018年,据科技媒体BuzzFeed News报道称,由于苹果在线商城的问题,有“约7200万”T-Mobile运营商用户的密码遭到泄露。
身份认证是数字世界中应用非常广泛的一项安全服务,密码的初衷是要解决身份认证问题,但是,行业普遍认为,基于静态用户名-密码的身份认证体系,有很多先天不足。在用户侧,会出现偷窥风险和遗忘问题;在设备侧,会出现木马、钓鱼、破解等攻击;在服务侧,会出现拖库撞库等攻击。
根据NIST(美国国家标准与技术研究所)的研究,身份认证系统有三大类:
• 所知:Something you know (e.g., a password)
• 所有:Something you have (e.g., an ID badge or a cryptographic key)
• 所是:Something you are (e.g., a fingerprint or other biometric data)
显然,把一阶段的密码消除掉,升级到三阶段的生物识别,实现无密码方案,是未来发展方向。同时,要想顺利推行无密码,需要应用、操作系统、设备、芯片、云服务等生态厂商的紧密配合,
2022年5月5日,苹果、谷歌和微软这三大科技巨头罕见联手,在一项联合计划中宣布,他们将致力于在未来一年,在其控制的所有移动、桌面和浏览器平台上打造无密码登录系统。
在国内,由蚂蚁、中国信通院、华为、中兴等创立的IIFAA联盟也在基于国产生态推广生物识别、无密码技术方案。而作为IIFAA副理事长单位的一砂,凭借长期的坚持和积累,已经和生态伙伴一起率先推出了国产eOFA无密码解决方案。
从国内外实践来看,无密码认证的目标是消除“共享秘密”这一密码认证模式中的根本缺陷,解决在用户侧、设备侧、服务侧的缺陷。安全无密码认证利用经过验证的公/私密钥认证杜绝交换共享秘密,再进一步将私钥安全地存储在用户设备本身上,并使用用户生物特征作为使用私钥的许可,从而在没有任何共享秘密的情况下自信地验证用户,降低安全数据泄漏风险。在无密码方案中,用户可以不知道自己的私钥,也不会有遗忘、记录丢失的风险。
一砂无密码认证服务
据悉,一砂已经为某大型企业客户提供了无密码解决方案,并且覆盖移动、桌面和物联网等各类设备类型:
l 手机端移动应用:生物指纹+公私钥
l PC端桌面服务:生物人脸+双因子
l AIoT物联网服务:云端人设备公私钥+权威方公私钥签发设备的可验证凭证
一砂的无密码方案不仅仅在于帮助客户解决身份安全问题。更重要的是其背后的价值,从网络安全方面来看,采用无密码认证有助于快速达到可信、安全、合规的要求,同时大大降低组织风险,快速弥补员工在网络安全防护方面缺乏经验的短板。从业务认证方面来看,生物识别等多因子认证方式让企业业务授权摆脱了密码维护和记忆的限制,可以更方便灵活的共享软硬件资源,改善业务过程中身份认证的效率和质量的同时,节省了软硬件资源,实现了绿色可持续的发展理念。
纵观全球发展趋势,主要国家和地区都开始重视数字身份对经济发展和网络安全的重要支持作用,而以无密码为代表的可信数字身份服务,已成为企业治理的重要内容。
一砂深耕行业多年,一直致力于以身份安全为核心的技术研发和应用推广,打造可信、便捷、多场景的数字身份服务,为企业数字化业务赋能。凭借自身的创新型身份安全解决方案和广泛的生态合作,已成功为超500+客户提供优质的数字身份产品,涵盖金融、政企、互联网、物联网等多个领域,得到了行业客户及生态圈合作伙伴的高度认可。
作为IIFAA(互联网金融身份认证联盟)理事会成员,未来一砂将继续坚定推动数字身份产业化、轻型化、智能化、绿色化,满足企业实现数字身份建设所带来的直接和长期效益,与合作伙伴持续共建身份安全生态。
“试想一下如果用户可以很方便的享受到安全可信的跨终端、跨操作系统的无密码身份验证服务,为什么还需要记住那些容易遗忘和泄漏的密码?”深创投研究院黄彦川博士谈到,“无密码其实在手机刷脸解锁、笔记本指纹认证等个人终端的场景已经不鲜见了,用户体验提升是显著的。但要做到跨终端和操作系统,背后其实是更高难度和严密的验证、安全体系。除此之外市场的反响还取决于先期切入的场景如何选择、谁来教育用户。从一砂的经验看,国内已经有大型企业利用无密码相关技术实现企业内外人机物的统一可信认证授权,并应用于海量机器设备的资产管理和运维场景中了,而此次国际IT龙头的共同表态更是为这项新技术的潜在应用铺路,形成更大范围的示范。”
关于一砂
北京一砂信息技术有限公司成立于 2017 年,总部位于北京,并在沈阳、上海、深圳、广州设有分支机构。
一砂相信,未来社会,随着数字化程度越来越高,人(People)、设备(Things)、服务(Services)将会更紧密的连接起来,数字化连接使得整体业务的摩擦度会降低,协同成本将会减少,整个人类社会的效率将会大大提升。
一砂以可信的数字身份为基础,提供相关的安全产品和解决方案,服务于金融、政企、互联网、物联网等各个行业,让人、设备、服务更加可信、便捷的连接。一砂将和生态合作伙伴一起,为一个更加美好的数字时代而努力奋斗。一砂是IIFAA(互联网金融身份认证联盟)的副理事长单位,并先后获得上海云鑫、深创投、基石等头部机构的投资。