为了干掉密码登陆 联想创投特意成立了一家公司

始于20世纪60年代的密码登陆技术，如今除了面临着生物识别带来的冲击外，还有更强劲的对手。

国民认证科技（北京）有限公司总经理柴海新

怎么干掉密码？

日前，联想创投集团特意成立了一家子公司，这家公司只专注一件事——建立中国在线身份认证市场标准。

简单来说，就是要干掉传统的密码登陆，以更安全、便捷的方式进行在线身份认证。

近年来，随着移动互联网的蓬勃发展，智能移动设备的普及率越来越高，越来越多的操作基于移动终端完成。但是移动应用与服务所采用的身份认证手段并没有取得令人满意的进展，常见的“账号+口令+短信验证码”模式，安全性得不到十足的保障。

目前市场上出现了采用生物特征（如指纹、面部、虹膜等）识别技术作为输入口令的替代物，这种新的身份认证手段的确在某种程度上改善了用户体验，但易用性不足，比如用户需判断口令短消息是否真实可靠，或需随时携带硬件（银行U盾或动态口令卡）才能使用特定服务。

除了安全风险之外，这些身份认证系统还存在互操作性较差导致无法兼容的问题。我国目前在网络空间可信身份管理领域缺乏三方支付监管办法的标准，缺少政府机关认可，并亟需建立统一的安全技术标准来规范我国在线身份认证市场。

面对着这样一种现状，联想集团高级副总裁、CTO，联想创投集团总裁贺志强表示：“联想创投承载着联想互联网转型的战略使命，联想集团一直在寻求核心科技，但通过内部创新的力量是有限的。联想创投希望以投资和孵化为手段为联想布局前沿科技，推动联想未来的创新发展；同时依托联想的全球资源优势，发挥我们独到的科技洞察，创投出优秀的企业，同时辅以资金、人才等方面的帮助，孵化出好技术、好产品、好企业。”

而国民认证正是依托于联想全球资源优势孵化出的子公司，据介绍，国民认证是指基于FIDO联盟UAF/U2F国际标准协议，向中国主流互联网服务商、金融机构、硬件制造商、生物认证技术商提供从客户端到服务端完整的身份认证解决方案。

用户使用国民认证方案系统并通过认证后，其设备会使用私钥对认证信息进行签名并发送至登陆服务器，而登陆服务器则使用公钥进行验签从而完成身份认证。通过这种新型身份认证技术，用户不必再担心商家服务器被攻破，导致密码被破解和盗取的问题。

神奇的FIDO联盟

那么问题来了，FIDO联盟又是什么？

上世纪60年代，当时多个用户使用一台电脑，需要用账户与密码进行区别。这种情况跟我们现在登录网页版邮箱或者QQ邮箱需要密码相类似。

2010年，PayPal的安全主管Michael Barrett、指纹识别安全专家Ramesh Kesanupalli与SSL之父及密码学者Taher Elgamal举行会谈。Kesanupalli希望拥有新的指纹识别标准，可以不依靠庞大的数据库来使用识别器；Barrett希望可以用安全简单的方式登陆PayPal；而Elgamal是这些计划最好的实行人。两年后，FIDO联盟成立，旨在帮助公司摆脱密码的束缚。现在，联想创投子公司，国民认证正是想推进FIDO在中国的普及进程，在业内形成标准的在线身份认证标准。

国民认证科技（北京）有限公司总经理，FIDO联盟国际拓展委员会主席以及FIDO中国工作组主席柴海新表示：“国民认证致力于提供创新的端到端身份认证技术和方案，构建和确保真实的人与虚拟世界的可信连接，为用户打造安全便捷的网络服务基础。此次的网络空间可信身份管理技术研讨会的顺利召开也预示着我国在线身份认证市场标准有望进一步得到规范，身为FIDO 国际拓展委员会主席，我有责任把国内的需求反馈到FIDO组织，推动FIDO整个产业链在全球的健康有序发展，这也是今年年初FIDO联盟成立中国工作组的初衷。”

何时能实现？

这样一个基于零信息泄露的畅想计划，将验证变得安全且简单的目标能实现吗？

据柴海新介绍，除了广泛主流在线支付应用，截至2016年4月，已有来自包括高通、三星、LG、华为、谷歌、雅虎、夏普等150多种设备产品获得了FIDO官方认证。这些产品涵盖从数码设备到在线服务的不同领域，譬如运输、安检、交通、银行、门禁等。

目前，国民认证已与支付宝, 京东，翼支付等在指纹认证安全解决方案领域展开了深入的合作，人脸识别和虹膜识别等更加便捷、安全的生物认证安全解决方案也即将面世。

对于国民认证发展的前景，FIDO执行董事Brett McDowell非常有信心，Brett称，在网络最先出现的时候，当时网站有很多不同的浏览器，一些网站只选择在一些浏览器运作，但如果你要登录一个网站，要把这个浏览器关掉，打开另外一个浏览器才能访问这个网站。我们现在所说的认证是紧密跟设备联结在一起，如果这个市场存在纯碎片化，也就是我们需要做设备的时候，每次出现一些调整都会出一些新的设备。自由市场是没有办法接受这种碎片化的。所以最后，所有的网站、所有的浏览器都出来了一整套的支持所有网站的系统。

因此Brett认为，“硬件市场最后也会出台这样一整套统一的标准，从而让所有的设备都能够应用。所以我们的问题并不是说会不会有这样的统一标准，而是什么时候能够出台这样的统一标准。”