我们什么时候可以最终摆脱密码?

  

         2月25日,谷歌向Android推出了一项新功能,可能对我们的在线安全产生巨大影响。该公司宣布,所有运行在7.0及更高版本上的Android设备现已通过FIDO2认证,可以进行无密码登录。一夜之间,全球数百万Android用户突然发现自己的口袋里装着安全钥匙。有一天,这个安全密钥有可能使密码及其所有伴随的问题和漏洞成为过去。

密码是保持数字生活安全的主要系统,但它们越来越无法胜任任务。大多数人重复使用一系列易于猜测的短语,而底层技术也容易受到各种攻击。黑客所需要做的就是说服你,他们狡猾的网站或电子邮件来自你的银行或其他在线服务,他们可以欺骗你泄露你的密码(所谓的“网络钓鱼”攻击)并进入你的账户。

FIDO2标准旨在取代基于密码的系统

但该系统可能会在FIDO2标准下发生变化。您不必输入一串字符(或者让我们面对它,让浏览器或密码管理器为您输入),您可以通过安全密钥或指纹识别器等生物识别设备进行身份验证。以前,这些按键大部分都是USB记忆棒或蓝牙适配器,但在Google宣布之后,您的Android手机可以执行与安全密钥相同的身份验证。安全密钥和设备之间的复杂握手意味着您无需记住任何内容,也无需截获任何有用的内容。

该标准有可能完全取代密码,谷歌正积极致力于未来。谷歌的产品经理史蒂文索尼夫告诉TheVerge,“我们希望看到的世界甚至不需要用密码进行传统认证。”如果您已登录手机,则可以使用此功能“引导”您要登录Google帐户的下一个设备,“您甚至无需处理Google帐户的用户名密码本身。”

为了提供这种登录,网站使用名为WebAuthn的FIDO2标准的一部分,这是一种开放协议,由万维网联盟(W3C)在3月初批准。有一小部分但不断增长的网站已经这样做了:Dropbox去年5月增加了支持,微软在去年12月增加了支持,谷歌支持WebAuthn截至4月10日。要使用此标准登录,您的浏览器还需要支持WebAuthn;Chrome,Edge,Firefox和Safari都已开始这样做了。

微软,DROPBOX和谷歌已经在不同程度上整合了FIDO2

然而,到目前为止,这些网站中只有一个实际上使用了FIDO2标准来完全替换密码。Microsoft的集成允许您使用WindowsHello或物理安全密钥作为解锁帐户所需的唯一内容。与此同时,Google和Dropbox使用WebAuthn作为传统密码的附加安全层,就像手机上的代码生成身份验证应用程序一样。这不一定是坏事。WebAuthn仍然是提供第二个身份验证因素的更安全的方式,因为它不能像六位数登录代码那样被钓鱼。但它仍未达到规范的全部潜力。

但大多数公司尚未准备好完全替换密码。Soneff表示,谷歌正在努力实现完全没有密码的未来,但该公司不愿意说这个功能什么时候推出。

当Dropbox去年首次宣布支持WebAuthn时,它表示它相信“让WebAuthn进行两步验证能够为大多数用户提供适当的平衡。”当被问及对该片的评论时,该公司的安全总监RajanKapoor,“我们希望有一天密码不再是登录的唯一,甚至是主要选项。”但他补充道,“在我们讨论可用性和采用之前,有许多问题需要解决。我会看到密码被替换掉了。

随着每个现代Android设备获得FIDO2认证,Dropbox对标准采用水平的抱怨似乎不是一个问题。但是,要解决其可用性仍有待完成。例如,如果您丢失了身份验证设备会发生什么?根据Soneff的说法,这种恢复机制是一个棘手的问题,谷歌正在研究处理它的多种方法。“恢复机制通常是最薄弱的环节,攻击者会找到他们的方式,”Soneff说,并补充说,这将是一个需要解决的关键问题,以便大规模处理恢复。

还有iPhone的问题。FIDO2身份验证没有希望成为主流,除非Apple的手机可以与Android手机一起用作安全密钥。是的,网站可以从技术上要求iPhone用户使用单独的硬件安全密钥,如YubicoUSB设备,但Soneff认为必须购买专用硬件的高门槛意味着这种安全密钥不太可能被任何人使用企业用户之外。

有证据表明Apple有兴趣超越密码。该公司已经允许您使用AppleWatch登录到您的Mac,并且有传言称此功能可能会在未来扩展。Apple清楚地知道密码存在缺陷,并且正在考虑更换密码。但到目前为止,它已经满足于在其自己的围墙生态系统中这样做,而不是采用像FIDO2这样的行业标准。

“认证是可选的。”

当我向FIDO联盟的BrettMcDowell询问Apple是否有可能让其设备获得FIDO2认证时,他拒绝发表评论。他确实说过添加FIDO2功能实际上并不需要认证。毕竟,这是一个开放的标准。他说,认证是供应商确保其产品与市场上其他产品互操作并符合标准的“机会”。否则,“认证是可选的”。

但即使所有工作都在技术本身完成,密码也不太可能完全消失。McDowell告诉我,他认为密码将在“相当长的一段时间内”与FIDO2身份验证一起继续存在,类似于大多数手机现在允许您使用PIN作为生物识别安全的替代方式。您可以使用指纹在99%的时间内登录,但如果需要,您的PIN始终可用。

“用户习惯和市场力量将使密码变得新颖,但长期以来它仍然是一种新颖的支持,”麦克道尔说。“随着时间的推移,市场力量将使密码变得更少,更少有趣,更不可行,效率更低。”

点赞

发表评论

电子邮件地址不会被公开。必填项已用 * 标注