Android现已通过FIDO2认证，未来的应用程序账户将不再需要密码

Android操作系统现在已经通过FIDO2认证，这意味着有一天密码可能会在移动系统中被彻底清除。

你可能总是听到这样的警告：对你的每个在线账户使用独特、强大、复杂和冗长的密码——当然，得确保你不会忘记。

对威胁行为者来说，攻破这些不断循环使用的简单、容易记住的密码是小菜一碟。如今，公司一般会执行强密码策略和2FA，如果没有专用密码管理器的帮助，很难进行密码管理（有些情况下，密码管理器比我们想象得更不安全）。

那么，如果密码消失，其他东西取而代之呢?

据外媒报道，周一，在巴塞罗那举行的2019年移动世界大会（MWC）上，谷歌和FIDO联盟共同勾勒出了Android用户的未来。

这两家机构透露，Android操作系统现在已经通过FIDO2认证，这意味着有一天密码可能会在移动系统中被彻底清除。

FIDO联盟是一个开放的行业协会，致力于降低我们对密码的依赖。该组织由亚马逊、Arm、谷歌、英特尔、联想和微软等公司组成，也是改进认证标准规范的创建者。这些标准包括FIDO U2F、FIDOUAF和FIDO2，其中 FIDO2实现了W3C的WebAuthn和CTAP。

支持FIDO2的设备允许用户通过FIDO安全密钥（如YubiKey）或生物识别技术（包括指纹读取器和摄像头）登录在线服务和应用程序，这些都有加密安全支持。

这不仅可以防止窃听和中间人攻击，还可以消除在线安全服务中存在的一个弱点——密码被强力攻击。

现在，Android已经通过FIDO2认证，这为超过10亿台设备实现无密码认证标准铺平了道路，只要它们运行的是Android 7.0或更高版本。

Android应用程序和web开发人员现在可以通过API调用将FIDO身份验证添加到他们的软件中，这两家公司说，这将为迅速扩大的终端用户群带来“无密码、防钓鱼的安全功能，这些用户已经拥有领先的Android设备，并且将在未来升级到新设备”。

例如，可以在基于浏览器的服务中实现简单的登录，并执行身份验证来访问附带的Android移动设备，而不需要多次验证用户。

谷歌的产品经理Christiaan Brand表示，谷歌长期以来一直与FIDO联盟和W3C合作，将FIDO2协议标准化，这使得任何应用程序都能够超越密码认证，同时提供针对钓鱼攻击的保护。今天发布的Android FIDO2认证有助于推进这一举措，为合作伙伴和开发人员提供了一种标准化的方式，让他们能够跨设备访问安全密钥库，包括已经上市和即将上市的机型，以便为用户构建方便的生物识别控制。

由于许多人仍在使用非常容易破解的密码，自动化黑客工具的强力攻击依然轻而易举，无密码、强大的身份验证目前只能让在线用户受益。有多少开发人员会采用这个标准还是未知数。