Authenticate2020(一)| 微软FIDO实践分享
发布时间:2021-01-03 07:34:31|浏览次数:2014
2020年11月9号至19号,FIDO联盟作为主持方,谷歌、微软、yubico作为赞助商,在线上举行了authentcate virtual event。邀请了认证行业内的专家,对认证行业进行深入探索。
会议主题为在后口令的时代,企业、政府组织应使用什么样的技术能力和标准,保护自身及用户的资产。
会议中,谷歌、微软、IBM、NTT DOCOMO等头部企业的安全负责人,详细介绍了他们已经实现的无口令认证系统;Okta、Duo security、yubico、RSA等技术供应商,介绍了他们最新对外提供的认证能力及考量;高通等硬件行业专家,对IoT认证进行了分析;其他各领域的专家,对分布式身份系统、openbank、PSD2、EIDAS进行了分析。
本次会议干货满满,我们将在一个系列文章中,对会议内容进行规整,向大家介绍现代化认证系统。
微软在本次会议上,进行了三个主题演讲:
● Passwordless Are we there yet?
● Success strategies for your strong authentication journey
● Key learings from adopting FIDO2 WebAuthn for AAD and MSA
谷歌在本次会议上,有四个主题演讲,第三和第四个演讲涉及的项目,openSk是谷歌开发的FIDO2测试工具,已经开源;titan是谷歌硬件key方案,也已经开源:
● Unlock your digital future
● FIDO Authentication Use Cases
● OpenSK
● Titan
IBM在本次会议上,有一个主题演讲:
● Deploying Passwordless Authentication for Employees at IBM
上述这三家公司,均已在内部、外部服务中使用无口令认证系统。
Passwordless Are we there yet?
演讲中,微软的副总裁详细介绍了对认证的分析,在员工服务中无口令化的使用,以及最终应用在客户上的体验。 ● 口令体系已经完全无法适应当今,95%以上的信息安全问题,来自于钓鱼、泄漏。且维护口令成本太高,平均重置需要花费20$; ● 无口令意味着凭据需要绑定在设备上,并且使用PIN或生物特征保护(Credentials bound to a device and protected by a PIN or biometric); ● 微软的无口令认证体系,有三个重要组成: ● 微软员工服务,90%以上已经不再使用口令,toC的服务将在2021年完成无口令化(包括OutLook、365、XBOX Live); ● 对于认证方式考虑,主要有以下三个方面:
口令体系不仅危害安全,也给企业带来了很高的开销。
在微软看来,无口令化意味着用户认证凭据同设备绑定,并由用户PIN码或生物特征进行保护。
在微软体系下,已经有1.5亿用户使用了各种无密认证方式,90%的微软员工不再使用口令。
无密的认证方式,主要有以下三种:
● 微软Authenticator应用程序
● FIDO2 key
● Win Hello
微软的目标,在2021年使用户登录,不再依赖口令。在这个过程中,需要在三个方面继续努力:
● 用户体验
● 集成
● 应用支持