摘自:《网络安全技术和产业动态》2023年第7期,总第37期。
无口令身份认证(Passwordless Authentication),也称为免密认证,是一种网络身份验证的新技术。该技术综合利用了生物特征识别和密码认证技术,来替代传统的账号/口令认证技术。
01 技术发展情况
从身份认证中如何使用口令的角度,网络身份认证技术可以分为口令认证(Password Authentication)、增强口令认证(Password+ Authentication)以及无口令认证(Passwordless Authentication)三种类型。
无口令认证技术近年来涌现了多种实现技术,主要包括采用生物特征认证、基于密码的安全协议、电话即令牌、基于硬件认证(如USBKey)等技术,综合安全性、易用性等因素,将终端生物特征识别和基于公钥密码的数字签名验证机制相结合的双因素认证成为主流技术方向,业界也集中在这个方向上推动技术标准化和产业推广。
目前在国外,快速身份在线(Fast IDentity Online,FIDO)联盟所提出的FIDO技术有比较大的影响力,得到了谷歌、微软、苹果等公司的支持。FIDO联盟陆续推出了U2F、UAF、FIDO2等技术规范。在国内,除了部分产商加入了FIDO联盟并在小范围使用FIDO技术外,还有互联网可信认证联盟(IIFAA)推出的免密技术规范和腾讯生态体系使用的SOTER技术。
02 技术发展难点
推广无口令身份认证技术,达成对口令认证机制的升级替代,既存在技术升级带来的挑战,也存在非技术因素带来的挑战。
使用用户名/口令进行身份认证具有技术理解容易、实现简单、成本低等优点,因此,目前大量应用系统仍在使用这种口令认证技术。相比之下,使用无口令认证技术除了需要成本投入进行技术改造外,其安全性由于可见性不够强而不容易被建设方接受,用户也可能对生物特征隐私安全有所顾虑。因此,无口令认证技术完全替代口令认证仍然需要时间。
同时,在移动互联网应用场景中,由于国内安卓产业链的严重碎片化,对无口令方案提出了更高的适用性要求,为无口令认证技术的推广带来了更大的挑战。
03 技术产业落地情况
国外Okta、Ping Identity、Onelogin等厂商推出了多种无口令认证产品或无口令认证平台方案,已经应用到多个应用中。2012年成立的FIDO联盟,其推出的FIDO规范,得到了包括谷歌、微软、苹果等公司在内的300多家组织的支持。这些厂商在终端设备本地无口令登录认证、自有生态内的服务账号无口令登录认证、以及研制和使用硬件安全密钥(Passkey)等方面,各自推进无口令认证技术落地。
谷歌、微软、苹果在2022年联合承诺支持FIDO无口令认证,目前Windows、MacOS、安卓、IOS等主流操作系统,以及Chrome、Edge、Safari等主流浏览器都实现了对FIDO规范的支持,为大量互联网应用推动实现跨平台、跨终端的用户无口令登录认证提供了支撑。
在国内,FIDO、IIFAA、SOTER等多个技术标准和生态体系分别在推动各自产业落地,FIDO规范的落地以U2F和UAF为主,主要集中在金融行业,具有联想集团背景的国民认证、飞天诚信、以及CFCA都有对应的产品和方案。IIFAA规范目前在全球超过16亿台安卓手机设备上得到应用和支持,主要为包括支付宝在内的金融安全支付场景提供免密认证体验,另外IIFAA还致力于将无口令认证规范向物联网等领域进行推广。腾讯SOTER主要服务于腾讯生态内部应用,国内数亿安卓终端用户的微信指纹/刷脸支付在SOTER保护下安全进行。
知名咨询机构Gartner预计,到2023年,有30%的组织将至少采用一种形式的无口令身份验证。
04 意见和建议
无口令认证技术目前具备了推广应用的基础条件,未来可能成为口令认证替代机制,建议从以下三个方面推进无口令认证技术的发展:
1.加强无口令认证关键技术和应用场景的研究,建议关注三个重要方面,一是如何在零信任技术中应用无口令认证,为以身份为中心的零信任体系安全性提供支撑保障;二是如何对现有无口令认证技术进行改造,以成功结合国内广泛使用的PKI公钥密码基础设施和数字证书认证服务;三是如何对现有无口令认证技术进行国密算法替换改造,以符合国内密码应用合规要求。
2.开展无口令认证相关技术标准和规范的制订,既要考虑无口令认证技术标准规范编写制订,也要考虑在已有标准规范的后续修订中,体现与无口令认证相关的内容要求。
3.对当前无口令认证技术的典型应用场景案例进行征集、调研,为社会各行业实践采用无口令认证技术,提供参考经验。
中国网络安全产业联盟(CCIA)主办,北京指掌易科技有限公司供稿。
声明:本文来自CCIA网安产业联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
