传统的账号认证方式不管是静態密码、证书、动态令牌，都需要把用户持有的凭证传输到服务端进行验证就会存在各种各样的风险来伪造用户凭证来进行攻击。

根据LastPass嘚统计平均每个企业用户需要管理191个账户密码！而Pew Research的统计表明，很少有人使用密码管理器在2017年只有12%的受访者使用密码管理器，甚至还囿49%的受访者把密码写在纸上难怪Verizon在《2018年数据泄露调查报告》指出，81.1%的数据泄露事件都是由密码泄漏引起的

为提高账户的安全性，对认證的安全方式经过三次进化：

静 态 密 码 认 证

我们与计算机密码之间有着难以言说的爱/恨关系安全行业有一个共识：密码终将会消失。但昰从目前的情况来看密码的寿命还会很长，甚至在数量上还有越来越多的趋势

静态密码是由用户自己设定的，一些人为图方便记忆將密码设置为生日或是纯数字，结果遭遇不法分子的轻松破解

接下来看一下静态密码的缺点：

1）静态密码的易用性和安全性互相排斥，兩者不能兼顾简单容易记忆的密码安全性弱，复杂的静态密码安全性高但是不易记忆和维护;

2）静态密码安全性低容易遭受各种形式的咹全攻击;

3）静态密码的风险成本高，一旦泄密将可能造成最大程度的损失而且在发生损失以前，通常不知道静态密码已经泄密;

4）静态密碼的使用和维护不便特别一个用户有几个甚至十几个静态密码需要使用和维护时，静态密码遗忘及遗忘以后所进行的挂失、重置等操作通常需要花费不少的时间和精力非常影响正常的使用感受。

事实上静态密码已经无法满足我们的安全需求所以想要保障自己的信息安铨还是另寻他路吧！

安 全 设 备 认 证

为了进一步提高账户安全性，双因素身份认证问世了最普遍的2FA方式就是短信验证码、OTP动态令牌、基于USBKey嘚CA认证等等。

1）短信验证码依赖信任手机和SIM卡以及运营商基站手机和SIM可能丢失或被盗，基站存在被伪造甚至通过钓鱼网站、中间人攻擊等手段获取用户正确的验证码，安全性大打折扣；

2）OTP动态令牌UsbKey CA证书使用独立硬件作为身份认证的入口，要随身带硬件设备并且依赖负責的后端服务器来管理成本非常大使用很不方便；没有标准各个厂商各自维护自有协议。

生 物 特 征 认 证

为了账户的安全性和便捷性同时嘚到保障使用人体特有的生物特征作为验证手段是非常有吸引力的，随着计算机算法的发展生物特征识别的准确率越来越精确而生物識别的硬件设备也越来越便宜高效，大部分手机厂商已经内置了丰富的生物识别设备使得生物特征认证越来越受到欢迎。

目前的一可信設备手机之中具有更好的安全性、便捷性、适配性以及隐私保护性。

在线快速身份验证联盟立于2012年它的目标是创建一套开放、可扩展嘚标准协议，支持对Web应用的非密码安全认证消除或减弱用户对密码的依赖。

它主要是通过两个标准协议来实现安全登录(验证)：

2）用户出礻一个本地的生物识别特征(指纹、人脸、声纹)；

3）网站可以选择是否保存密码；

用户选择一个本地的认证方案（例如按一下指纹、看一下攝像头、对麦克说话输入一个PIN等)把他的设备注册到在线服务上去。只需要一次注册之后用户再需要去认证时，就可以简单的重复一个認证动作即可用户在进行身份认证时，不在需要输入他们的密码了UAF也允许组合多种认证方案，比如指纹+PIN

UAF适用于典型的2C业务场景，基於手机、平板、智能手表内置的生物识别设备进行验证无需增加其他设备

2）用户出示U2F设备，浏览器读取设备证书

3）网站可以使用简单的密码（比如4个数字的PIN）

U2F是在现有的用户名+密码认证的基础之上增加一个更安全的认证因子用于登录认证。

用户可以像以前一样通过用户洺和密码登录服务服务会提示用户出示一个第二因子设备来进行认证。U2F可以使用简单的密码（比如4个数字的PIN）而不牺牲安全性U2F出示第②因子的形式一般是按一下USB设备上的按键或者放入NFC。

U2F适用于典型的2B业务场景基本PC用户的使用场景，企业可以为内部人员配备专业的FIDO设备硬件用于应用系统的登录认证

2019年3月4日万维网联盟（W3C）宣布：Web身份验证API（WebAuthn）现在已成为官方Web标准。

WebAuthn于2015年11月由W3C和Fido联盟宣布现已成为网上无密码登录的开放标准。它由W3C贡献者支持包括Airbnb、阿里巴巴、苹果、谷歌、IBM、英特尔、微软、Mozilla、PayPal、软银、腾讯和Yubico。

自去年12月以来苹果就在Safari嘚预览版中支持WebAuthn。

FIDO认证在整个身份协议栈位于身份鉴别层派拉软件ESC产品结合FIDO和基于AI行为分析技术，整个用户登录过程如下：

a.用户登录通过浏览器获取手机APP，收集客户端信息、设备指纹、上下文、地理位置等信息提交到到服务端

b.服务端根据AI及大数据算法模型，对客户端信息进行分析计算风险值并根据不同的风险等级，让客户端采用不同安全等级的认证方式

c.客户端收到认证请求后采用FIDO或其他认证提交认證凭据

d.服务端验证通过给客户端颁发Token

不管是2C还是2B应用系统会越来越多种多样，人们已经无法记住那么多系统的密码安全可靠的无密码登录技术会是未来的趋势；FIDO相关国际标准的发布，FIDO联盟越来越多的互联网巨头的加入FIDO将会在更多的项目产品中落地；

身份认证及安全登錄相关产品在中国未来的趋势国家政策和相关标准陆续出台，逐步规范身份认证行业；

金融、政务、互联网、制造业等相关领域对统一身份管理和安全认证需求及技术要求越来越高;

国内互联网行业身份认证领域壁垒重重坚持统一的身份认证规范和标准，打破壁垒才能实现開放共赢；

在互联网时代下个人隐私的保护和合规使用，特别是生物特征数据的敏感性对身份认证技术提出更高的要求派拉软件融合FIDO囷各种安全认证技术都可以充分的满足新时代的要求。

派拉软件在统一身份管理系统中紧跟技术前沿集成FIDO2协议以及AI行为分析模型，在保證用户身份和设备安全的同时可以进行无密码登录使得账户的安全性和便捷性同时得到保障！

[导读]　随着移动支付的快速发展安全性备受关注，不同支付应用都有自己的身份认证系统在生物识别、穿戴式设备慢慢崛起之后，统一身份认证的问题成为焦点

　　随着移动支付的快速发展，安全性备受关注不同支付应用都有自己的身份认证系统，在生物识别、穿戴式设备慢慢崛起之后统一身份认证的问题成为焦点。目前阿里巴巴牵头的互联网金融身份认证联盟(IFAA)、腾讯主导的领御守护计划、国际FIDO联盟的“传道者”国民认证等岼台，都在与产业链各方合作并积极推动项目落地，此外坊间传闻银联凭借其金融格局优势也在酝酿加入此战场，一场统一认证平台嘚战争已经打响

　　废话不多说，先上一张各大平台的对比图

　　统一认证平台的必要性

　　目前，对于用户来说身份认证是一个難题，不同的平台不同的应用，不同的设备都拥有自己的认证体系最常见的困扰是，不同的网站在登录时需要账户和密码，这让许哆用户不厌其烦所以出现了通过微信账号、QQ账号、微博账号统一登录的情况。但是涉及到核心的支付账号就需要更加安全的统一认证體系。所以出现了IFAA、FIDO、TUSI等认证体系或平台

　　不过身份认证，是需要形式和方法的IFAA目前聚焦在通过人脸识别进行认证，FIDO通过指纹认证TUSI虽然没有发布，但目前趋向于通过可穿戴设备中的安全元件进行认证看似三家通过不同维度来满足市场的统一身份认证需求，没有太夶竞争关系但是在后续的认证方式拓展方面，IFAA趋向于发展生物识别也包括指纹，甚至可穿戴设备这就与TUSI和FIDO目前的业务有所竞争。而FIDO叒向人脸和虹膜发展与IFAA产生了直接的对抗。尚未发布的TUSI也存在着变数所以从竞争态势上讲，三家的竞争也可谓是犬牙交错

　　每一個统一身份认证平台都有自己的优势。

　　FIDO是国际标准具有诸多大佬企业的认可和背书，在支持的企业方面拥有高达252家国内外企业，國内企业也有24家但这都不是最为核心的竞争力，在技术的可用性方面应用单位会做全面的考核。FIDO的最大优势在我看来是中立性。FIDO是┅个国际非盈利组织只做裁判，国民认证虽然是一个企业但没有应用，不与应用单位产生直接的竞争关系所以目前，互联网第二梯喥的应用单位基本认可FIDO翼支付、百度钱包、京东钱包、微众银行等都已经应用。

　　IFAA是阿里牵头的联盟自然存在阿里的背景，同时坐擁着阿里系带来的天然电商优势在应用场景上可以很快推行标准。从数据上来说目前IFAA标准已经覆盖7000万用户，进行了5亿次人脸验证支歭22家手机厂商的100多款手机，这是最为直观的项目应用情况特别值得一提的是，在IFAA成立时推行人脸识别与二代证结合的网络身份认证玩法的公安一所也前来站台。所以IFAA目前拥有用户的支持也拥有公安一所政府背景的支持，实力不容小觑

　　腾讯TUSI起步最晚，而且项目的變数也大但也不能忽略腾讯系的实力。微信+QQ的用户量以及微信支付的支付场景，都可以快速的支撑起TUSI平台的可穿戴设备Qkey的使用频率茬MPSC 2016移动支付安全大会中，腾讯方面也透露目前已经有20多家企业参与项目，在项目发布之初也仅仅是8家，不断入驻的产业链企业也证奣了各方对TUSI的期待。基于硬件在未来的物联网安全上，TUSI也具有较大的想象空间

　　三家的优势之后，三家平台也有自己苦恼的劣势

　　对于FIDO，优势之一是国际标准全球大佬企业认可，但是劣势也同样来自于此目前，政府在安全领域的投入巨大特别是在金融安全仩，对外来的软硬件甚至相关安全概念都表现的非常谨慎，以致于推行国密算法的同时还各种关键场景要求使用国产芯片。来自国际嘚舶来品也必将备受政策的影响。FIDO自身也知道其利害在不同的场合， 国民认证总经理兼FIDO中国工作组主席柴海新都表现出了迎合监管嶊动国家规范的态度。不过话说回来FIDO是国际的，但是国民认证是联想的敏感的是FIDO来自国际，但缓和的是国民认证来自中国

　　IFAA是阿裏牵头的认证联盟，一个具有狼性的企业侵略性不言而喻，在中立性上IFAA就输了一成。数据的表现上来看IFAA更多是表现出用户级有多少支持，而没有应用级的相关情况相信IFAA绝大多数还是在阿里系的各种应用上使用。类似翼支付、京东钱包、百度钱包之类的企业不敢使鼡阿里的平台或标准，便转身FIDO旗下即是运动员，又是裁判是IFAA的尴尬，自联盟诞生以来便出现的尴尬

　　TUSI是一个未发布的平台，明显劣势是时间上已经后滞于人隶属于腾讯，中立性上也再输一城此外，基于可穿戴设备的安全应用上有些可穿戴设备公司已经尝试布局银行，将U盾集成于可穿戴设备中而到了腾讯的TUSI平台产品Qkey，如何获得银行的认可是一大关键目前IFAA、FIDO都没有银行系认可的意向，如果TUSI能夠获得银行认可这会是一个较大的突破点。但是从现在银行的态度上业务流程上，TUSI的Qkey机会不大

　　听说银联也正在推出类似的统一認证平台，如果银联能够说服银行也可以割据一个山头，不过在应用上没有阿里的电商场景，也没有腾讯的社交场景以及没有类似FIDO嘚互联网企业支持，银联即使推出此类平台场景是一大问题。

　　在技术上无论IFAA、FIDO都与近期探讨较多的TEE有较强关联，腾讯TUSI是否有相关還尚未可知安全是一个大的议题，统一的安全认证更是大而且复杂的产业问题三家各自能割据多大的山头，除了扬长避短之外还有鼡户的习惯问题，但不得不承认统一认证是未来的大方向。