对于一个平时马虎的人来说,对于密码的态度就是如题中的四个字:杀死密码。忘记密码后的麻烦体验总是让人沮丧。所以,今年支付宝*包的指纹支付功能在三星S5上发布时,心中一阵狂喜,救星来了!再也不用费脑细胞记密码了。
支付宝*包的指纹支付功能的实现方式非常简单,即录入和验证:用户在手机和支付宝*包中录入指纹,然后当用户在支付宝内购物和转账时,扫描一下自己的指纹就可以完成支付了。伴随这样炫酷体验的是几个简单的问题:安全吗?怎样做到的?
对于不懂技术的人来说,这项技术背后的一堆名字,或许多少能增加些对这个产品的信赖力:PayPal的安全主管Michael Barrett、指纹识别安全**Ramesh Kesanupalli、SSL之父及密码学者Taher ELGamal等。这三位在网络安全世界里的**大牛在2012年研发出了这套身份验证机制,并成立了FIDO联盟。
这几位牛闪闪的人物放到一起的效果就是,他们压根没有采用或开发什么高深的***,只是把各自已经有的技术做了一个结合,并使它变成了一个项目标准。
怎样结合?就是非对称密钥+生物识别。也就是说,在验证的时候,是同时验证设备和用户的指纹等生物标识。而且,指纹等数据的存储地点,不是在云端的服务器里,而是设备的芯片中,并与设备操作系统区隔开。
于是,这套验证机制,不仅是不用记忆和输入密码了,而且安全问题被降到*低,密码根本就是不~怕~丢。基于一个开放协议,生物识别标识除了指纹技术外,还可以是语音声纹、脸部识别、虹膜,甚至DNA扫描和生物节律标记,这些都在FIDO联盟的研究和应用之列。
在中国,站在FIDO之后的是联想云服务。联想是FIDO联盟的创始会员。随着不断壮大,FIDO联盟的成员越来越多,包括PayPal、Google、BlackBerry、ARM、Microsoft、阿里巴巴等等诸多世界知名的公司。他们各自作为这套身份认证技术的上下游,组成了FIDO联盟,遵循一个统一的技术和安全标准。随之带来的是双赢的结果,比如指纹识别从一项技术落地到实际应用场景中。
联想把这套新型身份认证技术引入国内,并使之符合中国国情,中国化。同时把FIDO的规则和理念也带了回来。与FIDO联盟一样,这个验证技术在国内将包括服务提供商,像银行网银、第三方支付公司,或者其他地方需要身份登录的地方,比如游戏,邮箱;生产手机、PC的OEM厂商;提供软件或者硬件的部件供应商;还有在网上付款、转账等的用户。比如支付宝、三星手机等就已经进入其中。
而在这个生态系统中,联想要做的就是穿针引线的工作。这根线就是FIDO在中国的新的公开协议,即统一的技术和安全标准。
这个统一标准恐怕就是FIDO对行业来说*深远的价值所在,它使得产业上下游更容易用接口彼此相连,更方便地合作,与价值的*大化。比如,三星手机用了FIDO提供的解决方案,可以不用再做任何其他的改进工作,直接支持支付宝的指纹支付或其他的网上银行的指纹支付等。