密码将死?信奉FIDO的国民认证面对蓝海一片

不知不觉，密码已经走进人们生活40多年了。

工作邮箱要密码、报销系统要密码、微信要密码、转个账当然更是必须要密码还要加上一个短信验证。更麻烦的是不同的系统对密码的要求不同，有的要求大小写数字都有，有的要求只能是6位数字，有的要求3个月一换并且不能与前6个相同……如果恰好不幸是一名密码遗忘症晚期患者，每天面对铺天盖地密码的困扰是无法想象的。而最致命的是，随着各种移动互联终端应用的普及，从手机端到服务提供端都面临越来越严峻的安全方面的挑战。

令人欣喜的是，越来越多的设备使用了指纹认证技术(小编是ApplePay的重度用户)，人脸识别也在逐步应用于P2P、网络银行开户等领域，而很多场景下的身份认证技术听起来都处于“黑科技”的尚未普及阶段，比如，支付宝宣布将推出“空付”技术，也就是授权一个独特的纹身可以成为你的支付密码;美国《赫芬顿邮报》报道研究人员正在研发脑纹验证系统，根据每个人独一无二的大脑反应纹路验证身份...所以，这一领域有很大的前景和发展空间。

国民认证是联想创投集团成功孵化出的第二个子公司，这家公司利用基于FIDO联盟UAF/U2F国际标准协议，向中国互联网服务商、金融机构、硬件制造商、生物认证技术商提供从客户端到服务端身份认证解决方案。也就是说，国民认证所提供的技术，可把任意应用、任意设备和任意认证方式结合在一起，统一进行身份验证。

4月27日，国民认证高调亮相，并联合中国密码学会、全国信息安全标准化技术委员会以及联想创投集团共同举办网络空间可信身份管理技术研讨会，围绕可信身份体系建设、统一互联网用户身份认证管理、安全标准化需求，以及国际国内身份认证管理实践等主题进行讨论。一天的会议内容满满当当，座无虚席，会议还邀请到了中科院谭铁牛院士、中国银联执行副总裁柴洪峰院士、FIDO联盟总干事Brett McDowell、蚂蚁金服、京东钱包以及腾讯等企业代表等专家和牛人来参与。会上有哪些亮点和干货？

联想集团高级副总裁、CTO、联想创投集团总裁，贺志强

“账号+口令+短信验证码”将退出历史舞台？

“账号+口令+短信验证码”模式仍然是目前最普遍的验证方式，但是其诟病和安全性没有得到完美解决。相信大家都记得这几年每年至少一次大型服务提供商被撞库导致的大规模个人信息与密码泄露的事故，而随着移动互联网逐步改变人民的生活方式，在安全上的威胁也只会越来越多。昨日小编亲身经历，收到招商银行短信的网上支付验证码，而小编当时并未在网上有任何支付请求行为，随后咨询银行客服，被告知卡片存在风险需要做挂失处理。相信很多人有过类似的经历，回想起来还心有余悸。

新兴生物特征识别技术层出不穷，问题也不少？

目前市场上出现了采用生物特征(如指纹、面部、虹膜等)识别技术作为输入口令的替代物，新的身份认证手段的确在某种程度上改善了用户体验，但易用性仍旧不足，比如用户需判断口令短消息是否真实可靠，或需随时携带硬件(银行U盾或动态口令卡)才能使用特定服务。除了安全风险外，身份认证系统还存在互操作性较差导致无法兼容的问题。不同的认证方式导致产业的碎片化。一种安全可靠的认证方式需要整个产业链从认证器厂商(以指纹为例就是指纹传感器生产厂商)到AP厂商、操作系统、手机制造商、上层应用等各个环节的配合。所以通常我们会看到某品牌手机针对某应用提供了某种特定的生物识别方式，但想得到整个产业链的拥抱，共同升级为全体用户提供更安全便捷的认证服务，就会是一件很难的事情。

此外，个人最私密的隐私数据，可能存在被不当使用的风险。例如，用户使用一个指纹应用确认发红包转账，个人指纹信息就完全交给了应用方，也就存在被泄露或被不法商家留存的风险。隐私保护的挑战严重，目前关于生物特征尤其是隐私保护的法律法规不够完善。

FIDO前景如何？

FIDO联盟建立在一个简单的理念之上的：用户通过指纹识别器登设备，那么所有站点可以利用相关协议自动登入，即你能使用一部分的设备，就能使用所有相关的网络服务。 FIDO 联盟(Fast IDentity Online), 目前已经有Google, Visa, MasterCard, BC Card, Microsoft, Intel, PayPal, ARM, NTT Docomo, 联想集团等252家公司与机构参与，同时包括美国国家标准技术研究所(NIST)，英国内阁办公室，德国联邦资讯安全局等政府权威机构。

FIDO联盟主席Michael Barrett

从技术和应用场景、针对开发人员的便利性等方面，FIDO确实存在一些优势。但截止目前，仍然仅有少数的产品基于FIDO的标准，FIDO能否取得成功？这取决于生态系统的建设进展速度。据天极网了解，国民认证的产品和解决方案是基于FIDO标准。国民认证科技有限公司总经理柴海新也是FIDO联盟国际拓展委员会主席以及FIDO中国工作组主席。所以当前的主要目标，是将FIDO技术标准引进中国市场的同时，拥抱政府监管，并做好本地化工作。

国民认证科技(北京)有限公司总经理 柴海新

背后的“巨人”-联想创投

联想创投成立的时间并不长，只有短短1年左右的时间，与PC、手机、企业级服务并列为联想四大业务集团。联想创投通过投资和孵化手段布局前沿科技，再融汇联想的全球化资源，发挥自己的科技洞察，投出并加速优秀的创新企业。而国民认证作为联想创投旗下的子公司，是联想为转型和推动“设备+云”服务战略而孵化的子公司。新技术身份认证在中国还是一个蓝海，国民认证能否把蓝海做成红海，就留给时间去验证。