FIDO联盟和Google在世界通信大会(MWC)上宣布Android取得FIDO 2认证,将可使未来数十亿支手机和移动设备不再需要输入密码来登录app或网站。
未来任何Android 7.0以上的设备在更新Google Play Services后,都将符合FIDO 2认证,用户即可通过手机内置的指纹识别传感器,或是FIDO标准的硬件密钥,来登录支持FIDO 2协议的原生app或网站。网页及app开发商也可通过一个API 调用为其Android app及网站加入FIDO强验证机制,让用户不再需要记忆及输入密码,又能免于登上钓鱼网站的风险。
Google很早就和FIDO联盟及W3C合作推动FIDO2协议的标准化。 2014年Chrome 就支持FIDO2登录验证,让用户可以USB硬件密钥YubiKey经由Chrome登录支持FIDO2的网站,包括Google旗下服务。去年8月Google甚至推出自己的硬件密钥Titan。
事实上,经过近年来的推广,FIDO2已获得普遍支持。三大浏览器包括Google Chrome、Microsoft Edge和Mozilla Firefox都已支持FIDO2,苹果Safari支持则在预览版阶段。而除了Google,FIDO2联盟会员还包括GitHub、脸书、Dropbox及eBay、英特尔等科技与网络服务大厂。
这项宣布也将进一步加速密码的终结。密码难以记忆、在手机上不好输入,最大的问题是并不安全。一般程度的密码可以暴力破解,即使现在越来越多服务支持双重验证,但近来被破解的新闻也时有可闻。相较之下,FIDO2只要搭配USB或蓝牙/NFC硬件即可完成验证,不但使用更简单,它还能防范免于网络钓鱼、中间人(Man-in-the-Middle)攻击,以及其利用被窃帐密而发动的攻击。
根据Google的统计,目前全球跑Android的设备中,Android 7.0 (Nougat)以上版本的比例为49.7%。若按照Android 在移动设备74.45%的占比计算,全世界超过三分之一的移动设备很快就不再需要输入密码登录主要网站和app。