與蘋果谷歌微軟共同翹首：一砂攜手IIFAA共創國産可(kě)信無密碼時代

【導讀】

據統計， 61% 的數據洩露事件涉及登錄憑據均由密碼安全問(wèn)題引起，專家給出的安全密碼建議是，密碼長度至少(shǎo)12位數包含大小寫字母、數字及特殊符号，并且每90天至少(shǎo)更換一次。

但是達到以上密碼安全标準，且不重複使用密碼，對普通(tōng)用戶來說無疑是一種負擔。面對層出不窮的密碼安全事故與隐患，以及應對未來個(gè)人擁有手機、汽車(chē)、無人機、機器(qì)人等多終端多操作系統環境的需求，蘋果、微軟、谷歌聯手在2022年世界無密碼日上宣布要将更安全、更高效的無密碼技術(shù)推向前台，而這一次，國産軟件企業(yè)與科技巨頭們一同走向使命的前沿。

2022年9月(yuè)3日，以“服務合作促發展綠色創新迎未來”為主題的中(zhōng)國國際服務貿易交易會（以下(xià)“服貿會”）仍在火熱進行。這個(gè)全球服務貿易領域規模最大的綜合性展會聚集了該領域的新技術(shù)、新應用、新服務，吸引了全球七十多個(gè)國家和(hé)國際組織以及數千家企業(yè)參展，各方在場相互交流學習，共同探讨領域新趨勢，共享新機遇。

在本屆服貿會上，一砂作為IIFAA聯盟副理事長單位，與阿裡雲一同受德勤中(zhōng)國的邀請出席服貿會活動(dòng)，并和(hé)德勤、阿裡雲一起先後進行了主題演講。一砂解決方案總監張盛毅先生在演講中(zhōng)，以《網絡安全熱點之無密碼認證解讀》為題，向全球企業(yè)代表分享一砂對于數字身份行業(yè)未來發展的思考。

微軟對超過30億個(gè)公司賬戶進行了密碼重用分析，結果是驚人的，因為有至少(shǎo)4400萬個(gè)賬戶使用已洩露的密碼，并且，約20%的互聯網用戶重複使用密碼，另有27%的用戶使用的密碼與其他賬戶密碼幾乎相同。英國《路(lù)透社》報道稱，世界著名網絡安全組織Awake Security于2020年發布了一份公開報告，指出谷歌公司旗下(xià)的浏覽器(qì)——Chrome存在嚴重漏洞。經統計，大約3200萬用戶的密碼很有可(kě)能已經被黑客竊取。2018年，據科技媒體BuzzFeed News報道稱，由于蘋果在線商(shāng)城的問(wèn)題，有“約7200萬”T-Mobile運營商(shāng)用戶的密碼遭到洩露。

身份認證是數字世界中(zhōng)應用最廣泛的一項安全服務，密碼的初衷是要解決身份認證問(wèn)題，但是，行業(yè)普遍認為，基于靜态用戶名-密碼的身份認證體系，有很多先天不足。在用戶側，會出現偷窺風險和(hé)遺忘問(wèn)題；在設備側，會出現木馬、釣魚、破解等攻擊；在服務側，會出現拖庫撞庫等攻擊。

根據NIST（美國國家标準與技術(shù)研究所）的研究，身份認證系統有三大類：

• 所知：Something you know (e.g., a password)

• 所有：Something you have (e.g., an ID badge or a cryptographic key)

• 所是：Something you are (e.g., a fingerprint or other biometric data)

顯然，把第一階段的密碼消除掉，升級到第三階段的生物識别，實現無密碼方案，是未來發展方向。同時，要想順利推行無密碼，需要應用、操作系統、設備、芯片、雲服務等生态廠商(shāng)的緊密配合。2022年5月(yuè)5日，蘋果、谷歌和(hé)微軟這三大科技巨頭罕見聯手，在一項聯合計劃中(zhōng)宣布，他們将緻力于在未來一年，在其控制的所有移動(dòng)、桌面和(hé)浏覽器(qì)平台上打造無密碼登錄系統。試想一下(xià)如(rú)果用戶可(kě)以享受安全的跨操作系統、跨浏覽器(qì)的無密碼身份驗證服務，為什麼還需要那容易遺忘、洩露、被盜的密碼？在國内，由螞蟻、中(zhōng)國信通(tōng)院、華為、中(zhōng)興等創立的IIFAA聯盟也在基于國産生态推廣生物識别、無密碼技術(shù)方案。而作為IIFAA副理事長單位的一砂，憑借長期的堅持和(hé)積累，已經和(hé)生态夥伴一起率先推出了國産eOFA無密碼解決方案。

從國内外實踐來看，無密碼認證的目标是消除“共享秘密”這一密碼認證模式中(zhōng)的根本缺陷，解決在用戶側、設備側、服務側的缺陷。安全無密碼認證利用經過驗證的公/私密鑰認證杜絕交換共享秘密，再進一步将私鑰安全地存儲在用戶設備本身上，并使用用戶生物特征作為使用私鑰的唯一鑰匙，從而在沒有任何共享秘密的情況下(xià)自信地驗證用戶，降低安全數據洩露風險。在無密碼方案中(zhōng)，用戶可(kě)以不知道自己的私鑰，也不會有遺忘、記錄丢失的風險。

一砂無密碼認證服務

據悉，一砂已經為某大型企業(yè)客戶提供了無密碼解決方案，并且覆蓋移動(dòng)、桌面和(hé)物聯網等各類設備類型：

• 手機端移動(dòng)應用：生物指紋+公私鑰

• PC端桌面服務：生物人臉+雙因子(zǐ)

• AIoT物聯網服務：雲端人設備公私鑰+權威方公私鑰簽發設備的可(kě)驗證憑證

一砂的無密碼方案不僅僅在于幫助客戶解決身份安全問(wèn)題，更重要的是其背後的價值。從網絡安全方面來看，采用無密碼認證有助于快速達到可(kě)信、安全、合規的要求，同時大大降低組織風險，快速彌補員工在網絡安全防護方面缺乏經驗的短(duǎn)闆。從業(yè)務認證方面來看，生物識别等多因子(zǐ)認證方式讓企業(yè)業(yè)務授權擺脫了密碼維護和(hé)記憶的限制，可(kě)以更方便靈活的共享軟硬件資(zī)源，改善業(yè)務過程中(zhōng)身份認證的效率和(hé)質量的同時，節省了軟硬件資(zī)源，實現了綠色可(kě)持續的發展理念。縱觀全球發展趨勢，主要國家和(hé)地區都開始重視數字身份對經濟發展和(hé)網絡安全的重要支持作用，而以無密碼為代表的可(kě)信數字身份服務，已成為企業(yè)治理的重要内容。

一砂深耕行業(yè)多年，一直緻力于以身份安全為核心的技術(shù)研發和(hé)應用推廣，打造可(kě)信、便捷、多場景的數字身份服務，為企業(yè)數字化業(yè)務賦能。憑借自身的創新型身份安全解決方案和(hé)廣泛的生态合作，已成功為超500+客戶提供優質的數字身份産品，涵蓋金融、政企、互聯網、物聯網等多個(gè)領域，得到了行業(yè)客戶及生态圈合作夥伴的高度認可(kě)。作為IIFAA（互聯網金融身份認證聯盟）理事會成員，未來一砂将繼續堅定推動(dòng)數字身份産業(yè)化、輕型化、智能化、綠色化，滿足企業(yè)實現數字身份建設所帶來的直接和(hé)長期效益，與合作夥伴持續共建身份安全生态。

關(guān)于一砂

北京一砂信息技術(shù)有限公司成立于 2017 年，總部位于北京，并在沈陽、上海、深圳、廣州設有分支機構。

一砂相信，未來社會，随着數字化程度越來越高，人（People）、設備（Things）、服務（Services）将會更緊密的連接起來，數字化連接使得整體業(yè)務的摩擦度會降低，協同成本将會減少(shǎo)，整個(gè)人類社會的效率将會大大提升。

一砂以可(kě)信的數字身份為基礎，提供相關(guān)的安全産品和(hé)解決方案，服務于金融、政企、互聯網、物聯網等各個(gè)行業(yè)，讓人、設備、服務更加可(kě)信、便捷的連接。一砂将和(hé)生态合作夥伴一起，為一個(gè)更加美好的數字時代而努力奮鬥。一砂是IIFAA（互聯網金融身份認證聯盟）的副理事長單位。

本文(wén)文(wén)字及圖片轉載自微信公衆号：eSand一砂（ID：eSandinfo）