在互联网世界,验证用户身份是一个常见又重要的场景,应用最广泛的方式当属帐号密码验证。随着开发者对身份验证安全性要求不断提升,加之用户更加注重过程中的隐私与便捷,身份验证的方式逐渐多样化,有动态令牌、短信验证码、生物特征认证等方式。本文主要从安全性的角度,探讨几种常见身份验证方式存在的安全漏洞,为开发者们提供更具优势的解决方案。
常见身份验证方式在安全性方面的隐患如下:
既然静态和动态密码的验证方式都存在漏洞,那么身份验证是否可以不依赖于密码?
其实,在很早之前,就有人开始设想“无密码登录”。当然,“无密码登录”并不等于没有密码,而是用新的身份验证方式,来取代现有密码验证体系。HMS Core 线上快速身份验证服务(HMS Core FIDO)基于这个出发点,为开发者提供了一种更具优势的解决方案:无密码的用户身份验证,提供本地生物特征认证和线上快速身份验证能力,可用于用户登录、购买支付等场景,同时,通过系统完整性检测和密钥校验机制,来保证验证结果安全可信。实现流程如下。
从安全性上来说,首先,HMS Core FIDO避免了用户手动输入帐号密码,因此不必担心帐号密码泄露的风险。
其次,使用HMS Core FIDO并不需要用户随身携带额外的第二验证设备。App可以通过用户手机内置的组件验证用户身份,如指纹验证器、3D面容传感器、虹膜验证器等。如果App希望加强验证,除了使用或插入第二设备之外,用户的手机就可以直接作为安全密钥硬件,完成身份验证。一台手机,支持多种验证场景,用户无需携带额外的设备,HMS Core FIDO不仅改善了用户体验,同时也降低了互联网服务提供商的部署成本。
最后,在验证过程中使用到的用户生物特征信息绝不会离开用户设备,仅本地解锁后才可使用,因此不必担心从服务端泄露用户数据。
除了提供安全身份验证,HMS Core FIDO也能帮助开发者优化用户体验。
HMS Core FIDO协议始终围绕保护用户隐私来设计,这些协议不会向在互联网平台提供可用于跟踪用户的信息,如果采用生物特征识别技术,用户生物特征信息绝不会离开用户设备。这一点相较于传统的生物特征认证方式,在安全隐私保护方面有了很大的改进,因为传统的生物特征认证会将用户数据采集到服务端,一旦服务端数据发生泄漏,将造成严重后果。从用户的角度来说,隐私体验得到了极大的改善。
在身份验证过程中,用户操作简单,过程流畅无间断,无需耗费太多时间去等待,如接受验证码、输入密码等。
HMS Core FIDO的应用场景
目前,FIDO技术已经得到了全球设备厂商、互联网服务提供商的广泛认可,包括一些大型银行等金融机构、政府网络平台等等,成熟应用于涉及资金变动的高安场景,如:购物网站或者App购买支付、数字货币转账、手机银行(网上银行)中的大额交易,等等。就使用流程举例来说,App在用户登录时检测设备是否支持HMS Core FIDO,如果支持,App可引导用户开通指纹或3D面容登录,用户在下次登录时只需要验证指纹或3D面容即可。
HMS Core FIDO是基于FIDO规范面向海内外开发者提供的开放能力,能够帮助互联网服务提供商的身份验证过程更安全、更简单,同时还能收获更好的用户体验。FIDO全称为Fast Identity Online规范,是由FIDO联盟推出并持续维护一套身份验证框架协议,它使用标准公钥密码学技术,提供更强有力的身份验证方式。