科技巨头携手创无密码世界 能否阻止黑客?
随着人们日常中经常需要输入的密码越来越多,不少人经常忘记密码,甚至选择使用相同密码防止忘记。因此,三家科技巨头与FIDO共同合作,希望创造一个无密码世界,解决人们经常忘记密码的问题。
苹果、谷歌、微软、快速在线身份识别(Fast IDentity Online,FIDO)和全球资讯网联盟(World Wide Web Consortium,W3C)今年5月联合宣布一项计划,将共同创建一个通用的无密码登录标准。
FIDO希望推动更简单、更强大的身份验证标准和网络识别标准,并以公开密钥加密(Public Key Cryptography)方式改变身份验证模式,拓展身份验证的相互操作性,同时减少人们对于密码的依赖。
计划提到,过往仅依靠密码进行身份验证,已经成为网络上重大的安全问题。再加上消费者需要管理和记住多个密码,导致不少消费者使用相同的密码去登入不同的服务。
这种做法可能会付出巨大的代价。当一个账号被盗用,等于多个账号面临被盗用的风险,同时带来资料和身份外泄等诸多问题。目前使用密码管理器和传统的双重认证方式(手机简讯和电子邮件验证),逐渐改善网络钓鱼等问题。
据NordPass的新研究显示,全球有超过2.9亿个数据泄露事件中,有110万起的密码泄漏事件,都是使用“123456”作为密码,这也是全球CEO最常用的密码之一,泄漏事件影响到的领域有技术、金融、建筑、医疗保健等。
跨平台将实现无密码登入
现在宣布的新计划,将提供用户2种全新的功能。这些新功能将允许消费者通过一个金钥在多个网站、应用程序(App)、设备和平台上,进行无密码登入,打破过去人们使用无密码功能时,必须在每个地方进行登入的方式。
第一种新功能,让使用者在多个装置(包括全新的装置)上,自动存取他们在FIDO登入凭证(密钥或密码),且每个账户无需重新注册,类似于万能钥匙。
第二种新功能,让使用者在行动装置上使用FIDO认证,让附近的装置能够登入App或网站,无论这个装置是执行何种系统(例如,Windows、MacOS、Android和IOS等)或不同的浏览器(例如,Safari、Chrome等)依然能够互通。苹果、谷歌和微软平台预计在未来一年内实施这些全新功能。
手机可能成为无密码平台的媒介
据法国广播电台(RFI)报导,蒙彼利埃的计算机取证专家和网络安全普及网站Les Assouyes的编辑蒂博·海宁(Thibaut Henin)指出,“这个想法就是拿手机代替密码”。具体在FIDO网站上取得一个认证密钥后,与其它网站进行验证。
咨询公司Wavestone的网络安全专家伯特兰·卡利尔(Bertrand Carlier)则解释,使用无密码的本身,需要有一样东西进行身份验证。从技术角度来看,FIDO使用的技术是基于一种非对称的密码学系统。
他补充表示,“无密码执行的原理,就是使用私人和公开密钥。私人密钥则存储在个人手机的芯片当中,而公共密钥则是使用数字密码加密到服务器,当两种钥匙组合在一起就能识别用户身份。有了这些,在身份验证上就不会出错。”
电脑防毒软体公司ESET的全球网络安全顾问杰克·摩尔(Jake Moore)则对《每日邮报》表示,虽然三家科技巨头正在铺这条路,但在密码安全方面,人们还有许多的工作要做,距离无密码的普及,还有很长的路。
摩尔补充说,密码在账户安全方面发挥关键性的作用,因为它们受到攻击或破坏时,我们可以很容易进行更改,而不是直接依赖于唯一的设备进行身份识别,例如,智能手机或智能手表上。
他还表示,没有任何东西可以阻止黑客,他们可能利用查看功能来绕开无密码登入,就像任何过往使用的新技术一样,开始看似美好,但未来却难以预料。
专家:新方式可有效防止黑客
在5月联合宣布一项计划中,FIDO联盟的执行长兼行销长安德鲁·施基尔(Andrew Shikiar)表示,无密码身份验证的可行性和普及性,是让人们大规模采用的关键。
接着他表示,“在安全密钥的应用持续得到发展时,苹果、谷歌和微软承诺在其平台和产品上支持这项认证,实现无密码的目标,而该项新功能提供更全面的选项,防止那些钓鱼(假)的认证方式。”
美国网路安全与基础设施安全局(CISA)局长仁·伊斯特利(Jen Easterly)表示,“这些联盟和公司率先使用无密码,让美国人能以更安全的方式使用网络。新措施也是网络安全重要的里程碑,协助我们渐渐脱离传统的密码。”
苹果的平台产品行销资深总监库尔特·奈特(Kurt Knight)、谷歌产品管理资深总监马克·里舍(Mark Risher)和微软身份认证项目管理副总裁亚历克斯·西蒙斯(Alex Simons)也提出相似的看法。
法国国防、航天和安全的电子集团达利斯(Thales)身份和访问管理总监格雷厄姆·威廉姆斯(Grahame Williams)则对《每日邮报》表示,密码变得“越来越不安全”且“容易被黑客入侵”。现在该行业需要转向更新的技术,提高自身安全性和保护用户数据。
[美国服务器网图文来源于网络,如有侵权,请联系删除]