與蘋果谷歌微軟共同翹首:一砂攜手IIFAA共創國產可信無密碼時代
【導讀】
據統計, 61% 的數據泄露事件涉及登錄憑據均由密碼安全問題引起,專家給出的安全密碼建議是,密碼長度至少12位數包含大小寫字母、數字及特殊符號,并且每90天至少更換一次。
但是達到以上密碼安全標準,且不重復使用密碼,對普通用戶來說無疑是一種負擔。面對層出不窮的密碼安全事故與隱患,以及應對未來個人擁有手機、汽車、無人機、機器人等多終端多操作系統環境的需求,蘋果、微軟、谷歌聯手在2022年世界無密碼日上宣布要將更安全、更高效的無密碼技術推向前臺,而這一次,國產軟件企業與科技巨頭們一同走向使命的前沿。
2022年9月3日,以“服務合作促發展綠色創新迎未來”為主題的中國國際服務貿易交易會(以下“服貿會”)仍在火熱進行。這個全球服務貿易領域規模最大的綜合性展會聚集了該領域的新技術、新應用、新服務,吸引了全球七十多個國家和國際組織以及數千家企業參展,各方在場相互交流學習,共同探討領域新趨勢,共享新機遇。
在本屆服貿會上,一砂作為IIFAA聯盟副理事長單位,與阿里云一同受德勤中國的邀請出席服貿會活動,并和德勤、阿里云一起先后進行了主題演講。一砂解決方案總監張盛毅先生在演講中,以《網絡安全熱點之無密碼認證解讀》為題,向全球企業代表分享一砂對于數字身份行業未來發展的思考。
微軟對超過30億個公司賬戶進行了密碼重用分析,結果是驚人的,因為有至少4400萬個賬戶使用已泄露的密碼,并且,約20%的互聯網用戶重復使用密碼,另有27%的用戶使用的密碼與其他賬戶密碼幾乎相同。英國《路透社》報道稱,世界著名網絡安全組織Awake Security于2020年發布了一份公開報告,指出谷歌公司旗下的瀏覽器——Chrome存在嚴重漏洞。經統計,大約3200萬用戶的密碼很有可能已經被黑客竊取。2018年,據科技媒體BuzzFeed News報道稱,由于蘋果在線商城的問題,有“約7200萬”T-Mobile運營商用戶的密碼遭到泄露。
身份認證是數字世界中應用最廣泛的一項安全服務,密碼的初衷是要解決身份認證問題,但是,行業普遍認為,基于靜態用戶名-密碼的身份認證體系,有很多先天不足。在用戶側,會出現偷窺風險和遺忘問題;在設備側,會出現木馬、釣魚、破解等攻擊;在服務側,會出現拖庫撞庫等攻擊。
根據NIST(美國國家標準與技術研究所)的研究,身份認證系統有三大類:
? 所知:Something you know (e.g., a password)
? 所有:Something you have (e.g., an ID badge or a cryptographic key)
? 所是:Something you are (e.g., a fingerprint or other biometric data)
顯然,把第一階段的密碼消除掉,升級到第三階段的生物識別,實現無密碼方案,是未來發展方向。同時,要想順利推行無密碼,需要應用、操作系統、設備、芯片、云服務等生態廠商的緊密配合。2022年5月5日,蘋果、谷歌和微軟這三大科技巨頭罕見聯手,在一項聯合計劃中宣布,他們將致力于在未來一年,在其控制的所有移動、桌面和瀏覽器平臺上打造無密碼登錄系統。試想一下如果用戶可以享受安全的跨操作系統、跨瀏覽器的無密碼身份驗證服務,為什么還需要那容易遺忘、泄露、被盜的密碼?在國內,由螞蟻、中國信通院、華為、中興等創立的IIFAA聯盟也在基于國產生態推廣生物識別、無密碼技術方案。而作為IIFAA副理事長單位的一砂,憑借長期的堅持和積累,已經和生態伙伴一起率先推出了國產eOFA無密碼解決方案。
從國內外實踐來看,無密碼認證的目標是消除“共享秘密”這一密碼認證模式中的根本缺陷,解決在用戶側、設備側、服務側的缺陷。安全無密碼認證利用經過驗證的公/私密鑰認證杜絕交換共享秘密,再進一步將私鑰安全地存儲在用戶設備本身上,并使用用戶生物特征作為使用私鑰的唯一鑰匙,從而在沒有任何共享秘密的情況下自信地驗證用戶,降低安全數據泄露風險。在無密碼方案中,用戶可以不知道自己的私鑰,也不會有遺忘、記錄丟失的風險。
一砂無密碼認證服務
據悉,一砂已經為某大型企業客戶提供了無密碼解決方案,并且覆蓋移動、桌面和物聯網等各類設備類型:
? 手機端移動應用:生物指紋+公私鑰
? PC端桌面服務:生物人臉+雙因子
? AIoT物聯網服務:云端人設備公私鑰+權威方公私鑰簽發設備的可驗證憑證
一砂的無密碼方案不僅僅在于幫助客戶解決身份安全問題,更重要的是其背后的價值。從網絡安全方面來看,采用無密碼認證有助于快速達到可信、安全、合規的要求,同時大大降低組織風險,快速彌補員工在網絡安全防護方面缺乏經驗的短板。從業務認證方面來看,生物識別等多因子認證方式讓企業業務授權擺脫了密碼維護和記憶的限制,可以更方便靈活的共享軟硬件資源,改善業務過程中身份認證的效率和質量的同時,節省了軟硬件資源,實現了綠色可持續的發展理念??v觀全球發展趨勢,主要國家和地區都開始重視數字身份對經濟發展和網絡安全的重要支持作用,而以無密碼為代表的可信數字身份服務,已成為企業治理的重要內容。
一砂深耕行業多年,一直致力于以身份安全為核心的技術研發和應用推廣,打造可信、便捷、多場景的數字身份服務,為企業數字化業務賦能。憑借自身的創新型身份安全解決方案和廣泛的生態合作,已成功為超500+客戶提供優質的數字身份產品,涵蓋金融、政企、互聯網、物聯網等多個領域,得到了行業客戶及生態圈合作伙伴的高度認可。作為IIFAA(互聯網金融身份認證聯盟)理事會成員,未來一砂將繼續堅定推動數字身份產業化、輕型化、智能化、綠色化,滿足企業實現數字身份建設所帶來的直接和長期效益,與合作伙伴持續共建身份安全生態。
關于一砂
北京一砂信息技術有限公司成立于 2017 年,總部位于北京,并在沈陽、上海、深圳、廣州設有分支機構。
一砂相信,未來社會,隨著數字化程度越來越高,人(People)、設備(Things)、服務(Services)將會更緊密的連接起來,數字化連接使得整體業務的摩擦度會降低,協同成本將會減少,整個人類社會的效率將會大大提升。
一砂以可信的數字身份為基礎,提供相關的安全產品和解決方案,服務于金融、政企、互聯網、物聯網等各個行業,讓人、設備、服務更加可信、便捷的連接。一砂將和生態合作伙伴一起,為一個更加美好的數字時代而努力奮斗。一砂是IIFAA(互聯網金融身份認證聯盟)的副理事長單位。
本文文字及圖片轉載自微信公眾號:eSand一砂(ID:eSandinfo)