FIDO峰会：聚焦欧洲

欧盟的数字安全、隐私和认证领域正在迅速发展，新的法规可能会对欧盟公民以及世界各地的公司产生广泛影响。

在6月17日举行的Authenticate Virtual Summit:Focus on Europe（认证虚拟峰会：聚焦欧洲）上，欧洲认证市场的专家深度解析了最新发展情况，包括PSD2 SCA（支付服务指令-强身份认证）、委托认证、eIDAS（电子识别，认证和信任服务）和欧盟数字钱包等。

在峰会开幕式上，FIDO联盟的执行董事和CMO Andrew Shikiar介绍了FIDO标准是怎样运行的，以及为什么强身份认证对包括电子商务、物联网（IoT）和身份认证在内的多个应用场景至关重要。

Shikiar 说：“FIDO从第一天开始就致力于减少对口令的依赖，但这只是达到目的的手段，我们真正要解决的是数据泄露问题，因为绝大多数数据泄露都是由弱口令造成的。”

随着FIDO的发展，有必要加强ID验证，以更好、更安全的支持应用账户恢复。作为这项工作的一部分，Shikiar指出，FIDO联盟发起了ID验证工作组（IDWG），推动这项工作向前发展。

Shikiar说：“我们正在努力建立基于‘个人所有’的ID验证。这样做不仅可以实现更安全、更便捷、更强的账户恢复，而且可以阻止黑客把账户恢复过程作为社会工程攻击的切入点。”

NokNok产品副总裁Rolf Lindemann表示，电子商务的成功与强认证之间存在着切实的联系。

Lindemann指出，在新冠疫情大流行期间，电子商务的增长速度比以往任何时候都快。但13%的信用卡在线支付订单是未完成的，很明显，订单在支付过程的取消，对业务产生重大影响。

“我们了解到，身份认证的体验不佳，是导致取消订单的一个重要因素。”Lindemann说。“鉴于在线认证是所有在线交易的核心，这一点变得显而易见。认证通常是数字服务的第一道大门。”

提升认证体验的途径包括使用FIDO，Lindermann说，FIDO有助于实现强身份认证，这种认证可以通过一个方便的操作来实现。

在欧洲和世界其他地方，关于需要启用和提供某种形式的数字身份的讨论越来越多。咨询公司Hyperion的COO Steve Pannifer表示，数字身份由三部分组成：身份识别、身份认证和授权。

 Pannifer解释说，身份识别的目标，是确认用户真实、独特、可识别。身份认证是这样一个过程：一个之前身份识别过的人再次使用服务，服务提供者要知道是否是同一人。授权则是将身份同服务联系在一起，使用身份和身份认证来访问服务。

“数字身份单独的存在没有意义，它是一种达到目的手段。”Pannifer说，“它所服务的最终目标是我们可能访问的所有服务。”

Keyless的联合创始人兼COO Fabian Eberle也是数字身份的忠实粉丝。在一次会议上，Eberle分享了个人身份管理分散系统的必要性。这种系统让用户控制自己的身份信息，并让他们有选择地以更私密和安全的方式披露身份数据。

Eberle指出，在路易斯圭多卡利大学，超过10000名学生正受益于数字身份系统，有助于支持远程教育服务。Keyless的产品得益于FIDO标准，该标准有助于无缝的验证设备和识别学生。

在欧盟，有一个被称为eIDAS的项目，这是一个相互承认国家数字身份方案的法律框架。“eIDAS的目的是让任何欧洲国家的公民能够跨境获得欧盟的任何公共服务。”Yubico高级解决方案架构师Sebastian Elfors解释道。

欧洲各国政府越来越多地采用FIDO标准来帮助支持eIDAS。其中突出的是挪威的医疗认证、瑞典的大学教育和英国的国家卫生服务。

FIDO标准也帮助捷克共和国提供CZ.NIC顶级域名注册中心，该注册中心还运营Mojedd（捷克的身份ID）服务。

CZ.NIC的技术研究员、eIDAS技术小组成员Jaromi Talir解释说，域注册中心有一个要求，即验证域所有者的身份。这一要求导致了mojeID的诞生，该公司自2019年以来一直在使用FIDO标准。塔利尔解释说，CZ.NIC使用FIDO来实现多因子强身份验证，以帮助验证用户身份。

随着欧盟的支付服务指令强客户认证（PSD2-SCA）于2021年生效，对商户向支付提供商认证消费者提出了非常严格的要求。

在一次小组讨论中，万事达卡产品开发副总裁Jonathan Grossar表示，在推出PSD2 SCA的几个月内，被消费者取消的交易数量有所增加。

“因此，PSD2 SCA的一个问题是，消费者可能需要进行两次身份认证，”Grossar说。“先是与商户进行第一次认证，然后第二次与银行进行交易，两者可能采用不同的身份验证机制。”Grossar解释说，通过委托身份认证，整个身份认证部分由商家通过安全机制处理。Grossar认为，将FIDO标准与EMVco的3-D安全标准结合起来，共享身份认证和风险数据是未来的发展方向。

“FIDO可以跨多个设备和平台进行互操作。”格罗萨说,“简而言之，现在有几十亿台设备启用了FIDO，这些设备有可能用于委托身份验证.”

Jason Muncey是Amazon的EU支付接受和国际扩展负责人，他也对使用FIDO进行委托认证持乐观态度。Muncey评论说，即使在PSD2 SCA需求之前，订单中途取消也是所有商家不得不忍受的痛苦。他认为，确实需要采取某种形式的一致做法。

Worldpay的产品总监、认证主管Lee Goddard也指出，在购买过程中，总会有一些放弃的可能性。

她说：“我认为，FIDO的授权认证方法将真正地进一步消除越来越多的中途取消的订单。”

随着疫情的蔓延，亲自进行身份ID验证变得具有挑战性，这导致欧洲和世界其他地区需要增加远程ID验证。

在小组讨论中，Jumio产品管理高级主管Santosh Rajvaidya指出，到目前为止，欧洲在远程身份验证方面还没有统一的方法。随着欧盟委员会推出新的数字身份钱包方法，这种情况可能正在发生变化，这可能是朝着正确方向迈进的第一步。

“数字身份钱包的作用是您对您的ID进行一次性验证，然后在数字身份钱包中创建身份。”拉杰瓦迪亚说，“从此以后，用户可以在不同的应用程序中多次重用它。”

现在，在FIDO内部还有一个ID验证和绑定工作组IDWG，它正在做的工作也将有助于远程身份验证工作。IDnow监管事务主管Rayissa Armata认为，在验证方面，用户体验和便利性是关键属性。

她说：“大多数用户不关心自己的身份或数据隐私，他们会勾选方框进行下一步，他们只是想得到他们的服务。”

在峰会结束时，FIDO联盟执行董事兼CMO Andrew Shikiar强调，FIDO联盟目前在欧洲和世界各地都处于非常有利的地位。

“我们看到越来越多的公司采用FIDO认证，”Shikiar说到，“我个人坚信，在未来几年内，几乎所有在线消费服务都将提供无口令登录选项，我们希望绝大多数此类服务都能使用FIDO。”

下一届FIDO峰会将在9月份召开，聚焦于政府服务方向。10月，FIDO联盟将在西雅图举办第一次现场活动。