目录:
视频: ä¸è¦å²ç¬æåçæ§ (十一月 2024)
2012年,《 连线 》杂志的马特·霍南(Matt Honan)撰写了将整个数字生活与一串字母,数字和符号捆绑在一起的灾难性后果。 在黑客发现密码后,Honan只是其在线帐户被劫持的无数人之一。 受害者名单还包括包括马克·扎克伯格在内的知名技术高管。
但是,密码仍然是保护在线帐户的主要方法。
身份验证空间上有不少创新。 在2016年,我写了关于身份验证技术的文章,该技术提供了安全且易于使用的密码替代方案,但直到最近,还没有一种技术被大规模采用。
但是,现在有了希望,由于一系列简化和鼓励在线应用程序中实施无密码身份验证方法的法规和开放标准,我们最终可以放弃长而复杂的密码。
什么防止无密码身份验证?
Yubico首席执行官兼创始人Stina Ehrensvard说:“我们日常生活中所需的大量密码已成为一种负担,这就是为什么我们看到如此多的重复使用或薄弱的静态凭据的原因。” 。 “我们需要考虑如何以简化登录过程的方式来解决此问题,同时增加最高级别的安全性。到目前为止,还没有真正成功地完成这两项工作的方法。”
继续使用密码的组织不会丢失密码的漏洞。 但是在考虑替代方案之前,它们必须考虑技术的安全性,可用性,可用性和成本。
“我们以前没有用更可靠的东西代替密码的原因是,对于安全性或可用性而言可能更好的所有替代品并未普遍适用于所有形状和大小的互联网连接设备,而且成本也不高有效”,开发身份验证标准的财团FIDO Alliance执行董事Brett McDowell说。
此外,密码输入是在新网站和移动应用中实施的最便宜,最简单的身份验证技术。 并且,尽管诸如生物识别技术之类的替代方案已在移动设备上变得越来越广泛,但密码输入仍然是所有设备都支持的普遍功能。 删除它会阻止许多用户访问这些服务。
缺乏标准也使得很难摆脱密码。 大多数组织都无法承受在客户端应用程序和后端服务器中增加对多种不同身份验证技术的支持的开销。
当然,总会有人为因素。 “一些公司和个人仍然认为他们不会受到网络攻击的影响,并且对网络犯罪分子不感兴趣。缺乏更改现有解决方案的意愿和资源正在阻碍采用新的无密码身份验证解决方案,” Alex说。 REMME的首席执行官Momot,这是一家开发去中心化身份验证系统的初创公司。
美联储来敲门
近年来,人们对在线安全性和用户隐私的意识日益增强,尤其是在政府机构和监管机构中。 以前,组织本来可以避免数据泄露和安全事件,而不会造成任何法律和财务后果,现在不再如此。
麦克道尔说:“监管者和其他任何人一样,都对数据泄露新闻头条感到厌倦,他们开始采取行动,导致更多的企业在其数据保护实践中添加了强大的身份验证。”
最相关的监管措施包括《通用数据保护条例》(GDPR),这是一组定义公司如何收集,处理和保护用户数据的规则。 GDPR还定义了用于强用户身份验证的标准。 不遵守规则并保护其客户数据的公司将受到严重罚款。 GDPR仅适用于欧盟管辖区,但是由于许多不在欧盟的公司仍在该地区开展业务,因此现在被视为安全的黄金标准。
“当越来越多的公司采用强身份验证,并且越来越多的数据泄露是由于密码泄露而引起的,对于企业而言,向GDPR监管机构提出仅采用密码验证就是一个越来越困难的案例。适当的安全性,可能使其公司面临比从密码转换为真正的强身份验证的价格要昂贵得多的罚款,” McDowell说。
其他特定于行业的法规对身份验证技术的使用更为明确。 一个示例是“支付服务指令2(PSD2)”,它规范了欧洲的电子商务和在线金融服务,并强制执行两因素身份验证(2FA)。 PSD2还鼓励使用安全卡,移动设备和生物识别扫描仪,以在不损害安全性的情况下改善用户体验。
美国国家标准技术研究院(NIST)定义了各个行业的标准,并在其数字身份准则中指出,组织应远离密码和一次性密码,并采用现代的强身份验证。
McDowell说:“更具体地说,NIST建议您使用现代设备创建和使用加密私钥作为新帐户凭据的身份验证,并将其安全地存储到您的个人设备,就像现在大多数智能手机安全地存储指纹数据一样。”
关于政府监管是否会阻碍或鼓励创新存在争议。 但是在这一点上,我们可能需要进行监管以推动采用更安全的身份验证机制。
Ehrensvard说:“政府在采用开放标准方面可以发挥关键作用。” “例如,看一下安全带。这也是一个开放标准,其使用受到政府的管制。因此,当今道路上的汽车数量增加了10倍,但致命交通事故的总数却减少了”。
进入同一页面
仅密码验证的广泛替代需要的不仅仅是法规。 如果没有一套标准协议,组织和公司将很难找到一种认证技术,以使其与安全法规保持一致,同时使用户可以使用其应用程序。
那就是FIDO要解决的问题。 FIDO身份验证基于与万维网联盟(W3C)合作开发的一组免费和开放技术标准。 目的是通过使整个消费电子行业将技术集成到其产品和平台中,从而在设备和服务之间创建互操作性。
FIDO将密码替换为公用密钥密码。 这意味着用一对公钥和私钥标识用户而不是密码。 用公钥加密的任何内容都只能通过其相应的私钥解密。 当用户使用支持FIDO身份验证的在线服务进行注册时,该服务将生成密钥对并将公用密钥存储在其服务器上。 私钥仅存储在用户的设备上。 登录时,会向客户端应用程序显示使用公钥生成的密码质询,该挑战只能由私钥解决。 用户必须使用设备(通过指纹,面部或PIN)验证其身份,以解锁其私钥并解决挑战。
该模型的优点在于,它无需存储和交换密码即可提供多因素身份验证。 即使黑客设法破坏了服务提供商的服务器,他们也只能访问公共密钥,而没有相应的私有密钥存储在用户设备上,这是无用的。 如果黑客窃取了用户的设备,他们仍然需要绕过本地身份验证来获取私钥。 从用户的角度来看,这消除了为每个帐户存储长而复杂的密码的需求,同时提供了卓越的安全性。
但是FIDO的更大成就是获得了科技行业的广泛支持。 该联盟召集了Google,Microsoft,Amazon和Intel等大公司,以开发易于在不同设备类型和操作系统上实施的标准。
“组建FIDO联盟的企业了解到,只有通过结合免费和开放的技术标准,极为优越的用户体验以及对安全模型采用根本不同的方法,将密码用于在线身份验证才能大规模实现商业上的可行性”,麦克道尔说。
FIDO最近发布了FIDO2,这是其标准的扩展,它增加了对浏览器和各种应用程序框架的公钥身份验证的支持。 Windows 10,Android上的Google Play服务以及Chrome,Firefox和Edge网络浏览器均支持该标准。 WebKit是苹果Safari浏览器背后的技术,它可能很快也会增加对FIDO2的支持。
Ehrensvard说:“ FIDO2标准可以使用基于公钥密码学的基于硬件的强身份验证来代替基于弱密码的身份验证,” Ehrensvard说,他的公司Yubico是FIDO的关键成员之一。 “该标准允许以多种形式进行无密码身份验证,包括通过USB和即插即用NFC,这提供了最佳的用户体验,并大大提高了安全性和生产率。”
密码何时最终消失?
尽管业界在开发替代身份验证方法方面已经走了很长一段路,但密码不会在一夜之间消失。 REMME首席执行官Momot表示:“我们应该考虑到我们拥有许多'传统'软件和信息系统。这就是为什么并非总是能够轻松更改已建立的身份验证规则(包括基于密码的规则)的原因。
LogMeIn的CTO Sandor Palfy等其他专家认为,密码将仍然是识别用户的主要方面。 他还认为,业界应将重点放在改善密码体验上。
- 2019年最佳密码管理器2019年最佳密码管理器
- 密码是什么? 播放音乐并通过Brainwaves登录密码是什么? 播放一些音乐并通过Brainwaves登录
- 虚假的色情电子邮件,使用旧密码骗你现金虚假的色情电子邮件,使用旧密码骗你现金
“直到有多因素身份验证(甚至行为或上下文身份验证)的通用覆盖面可用为止,公司都需要投资以增强整个组织中使用的受密码保护的服务,” Palfy说。
“为我们所有的工作和个人帐户记住唯一,复杂的密码与人类的自然行为不符。通过使用密码管理器之类的工具,记住多个密码已经成为过去,用户只需记住一个主密码, ” Palfy说,他的公司是LastPass密码管理器的开发商。
但是对于自2014年以来一直担任FIDO掌舵人的McDowell来说,根除密码的探索终于进入了最后阶段。 “如今,无密码的未来正在变成现实,一次只能应用一次。在几年内,我希望在当今的公共场所中,与公共电话亭一样,在Web页面上很少能找到密码输入表格,而且对于同样的原因-我们提供了一种经济高效,无所不在的替代方案,可以提供更好的用户体验。”他说。
