近日京东泄露12G用户数据包的消息成为各大科技媒体头条，据悉泄露的信息包括用户名、密码、邮件箱、QQ号、电话号码和身份证等多种信息，数据多达数千万条。京东官方声明已经承认这些数据来自京东。事实上，不仅仅是京东，近年来中国互联网包括携程网、天涯网等发生多起严重数据泄露事故，而日益猖獗的网络诈骗和地下网络犯罪的“蓬勃发展”与账户密码数据泄露事故有着密切关系。

FIDO扛起去密码化大旗

白宫美国国家网络安全委员会近日向当选总统特朗普提交了一份包含十六个安全建议，长达100页的安全报告，指出2021年美国应当杜绝重大个人身份数据泄露事件，尤其是包含密码的账户信息。

美国国家网络安全委员会推荐用线上快速认证联盟FIDO联盟的技术标准来达成以上目标，在博客中FIDO联盟为美国政府给出了技术路径。

在安全业界，密码面临的问题有目共睹，谷歌的Oauth和OpenID认证标准开发者Tim Bray曾抨击“用户名和密码是一种愚蠢的方式，而且也跟不上互联网的规模发展。”FIDO联盟正是在这个背景下应运而生的一个推动去密码化的强认证协议标准的组织。

FIDO联盟的目标是创建一组新的协议，支持对web应用持续的、安全的、无需密码的访问。FIDO联盟目前拥有超过250个企业成员，包括设备制造商、银行、支付卡网络、安全和生物认证厂商以及多个政府部门，包括微软、Google、Paypal、MasterCard等重量级企业都是FIDO的成员。

与白宫“扶正”FIDO的策略相呼应，英国政府近日发布的国家网络安全战略白皮书报告中也同样将FIDO作为“去密码化”的在线认证技术路径。

FIDO能否重塑互联网安全信心

目前FIDO推动的开放安全规范支持广泛的安全认证技术，包括指纹/虹膜等生物测定、语音和面部识别、以及现有的通讯安全标准如可行平台模块（TPM）、USB安全令牌、嵌入式安全要素（eSE）、智能卡、低功耗蓝牙（BLE）和近场通讯（NFC）。FIDO的开放规范还将支持未来的创新，同时保护现有投资。FIDO的规范支持在一个互操作基础设施中各认证技术之间的互动，根据用户和企业的不同需求支持不同的认证技术选择。

但是，由RSA、微软等美国企业主导的FIDO规范能否在全球范围内取得成功，技术的开放性和先进性也许并不是决定性的因素。

在奥巴马政府任期期间互联网安全技术全面“沦陷”，而斯诺登曝光的NSA全球监控项目则摧毁了互联网安全的信任基础，FIDO核心成员RSA更是在2013年爆出在产品中植入NSA提供的后门，该丑闻使得硅谷科技公司的声誉一落千丈，也让全球安全业界对“美国标准”心存芥蒂。此外虽然FIDO技术规范的基础协议开源，但是由Nok Nok Labs开发的中间件安全技术属于私有闭源技术。

特朗普任期能否推动FIDO成为全球新一代网络身份认证标准，帮助全球企业用户、政府和消费者重建已经崩溃的信任基础？目前看来还存在诸多问题和挑战。