ACM通信
密码解锁认证新时代
passkey是一种基于网络认证的行业标准,可以完全替代存在问题的密码系统。
来源:Simakova Mariia/Shutterstock.com
很少有东西能像电脑一样让人鄙视密码。它们既不方便,又极不安全。网络团伙攻击他们,入侵他们,并不断地对他们造成破坏。据行业统计数据显示,超过80%的泄露都涉及到这样或那样的密码。
甚至更高级多因素身份验证(MFA),无论是在认证应用程序上以文本代码还是滚动数字的形式,都不能解决根本问题。狡猾的小偷已经学会了如何使用社会工程找到进入账户的方法。
“多年来,我们一直在讨论转向无密码模式。最后,通过更高级的方式万能钥匙我们有机会在技术上取得进步。切斯特Wisniewski他是Sophos安全公司应用研究部门的首席技术官。
密码密钥完全消除了密码。虽然它们不会结束网络攻击,但它们代表了一个在数字世界中导航的更方便、更安全的框架。“Passkey技术看起来是实现使计算机更安全这一目标的最佳途径,”他说里克•特纳他是一家研究公司IT和安全实践的首席分析师Omdia。
传递密码
直到最近,更换密码一直处于棘手和不可能之间。层层的Web基础设施——从银行和商家到电子邮件账户和云服务——都是建立在密码技术之上的。虽然MFA使骗子更难窃取密码,但它也容易受到社会工程、网站破坏和其他类型的攻击。
遗留框架,包括某些形式的双因素身份验证,依赖于人类可读和共享的秘密。这使得它们非常容易受到攻击,而且相对容易被绕过。安德鲁Shikiar,执行董事狗联盟,从而开发出广泛应用的fido2标准它支持passkey技术。
输入口令。这些身份验证工具用用户不可见的令牌和加密签名替换密码。当一个人在一个网站或应用程序上登录时,他们使用一个生物识别扫描或PIN来解锁设备并激活安全密钥,安全密钥存储在加密云中的手机、电脑或其他设备上。
这使得密码可以在多台设备上使用,甚至是新设备,而不必在每个账户上注册每台设备。密钥本身就很强大,而且人眼永远看不到它们。对于用户来说,没有什么需要创建、记住或更改的。
而且没有办法被骗或被骗去透露它。
“使用非对称公钥密码学Wisniewski说。事实上,私钥从未离开过设备,这使得网络钓鱼或网站数据泄露成为一个有争议的问题。“它几乎完全消除了凭证被窃取和重用的可能性。这也让普通消费者非常容易接受和使用它,因为它非常容易使用。”
苹果和谷歌已经在他们的操作系统中支持密码,微软也将推出这项支持的一年。此外,Chrome、Edge和Safari浏览器都可以使用密钥,各种网站和服务也开始采用这种技术,包括eBay、百思买、Kayak和PayPal。
个人只需用手机扫描二维码即可注册。之后,登录就像Face ID或Touch ID扫描一样简单。“这是一个巨大的进步,”Shikiar说。
密码少扎根
未来几年,Passkey的使用率可能会大幅上升。特纳认为,密钥很可能成为企业和消费者事实上的标准。虽然它最终可能会解决长期存在的创建、维护和更改固有不安全密码的问题,但该技术可能会导致整体网络安全环境的变化。
特纳举例说,随着密钥越来越普遍,网络犯罪分子可能会在身份验证过程完成后,将注意力转向寻找从浏览器和设备中提取数据的方法。他说:“可能还会关注事后授权。”Wisniewski说,cookie盗窃是一个日益严重的问题,可以让小偷冒充用户,而且可能会变得更加频繁。
Turner指出,密钥的一个潜在缺点是,至少到目前为止,密钥还不能在不同平台的设备之间自动传输。然而,商家、银行和其他服务提供商在登录屏幕上为用户提供二维码,这使得使用密钥设置新设备相对容易,即使是在不同的操作系统上,如Android、macOS或iOS, Shikiar说。
另一个问题是密钥,不像硬件设备,如YubiKey,放弃无懈可击的身份安全,而选择具有一定便利程度的高安全性。Wisniewski说:“副本存在于云端,而不是人的身上。“这样做的好处是,如果你的设备丢失或被盗,你仍然可以登录账户。”
不过,一场巨大的身份验证革命即将展开——密码很可能会消失在历史的垃圾箱里。Wisniewski说:“多年来,我们一直看到人们屏息地预测密码时代的终结,但这并没有发生。现在看来,我们终于有了一个更简单、更方便、更安全的框架。”
塞缪尔·格林加德作者兼记者,现居美国俄勒冈州西林
没有找到条目