如果您近年来没有遵循登录标准的发展,这听起来可能有点奇怪,但谷歌刚刚宣布明年将在Android和Chrome中推出无密码安全性。这意味着从网站或应用程序登录安全帐户就像解锁手机一样简单,而且比使用密码更安全。
我知道这听起来有点奇怪,不使用密码似乎会引入其他问题,但从根本上说它仍然是安全的。另外,当您考虑密码时,密码非常愚蠢。
如果您不使用密码,那么您很可能会在服务之间至少重复使用一些密码,这意味着一个场所的安全漏洞很容易传播以危及多个帐户。最重要的是,你必须想出一个密码——根据谷歌最近对4,000名人进行的一项调查,19%的人表示他们使用了一个“常见的”容易猜到的密码,如123456或“密码”。即使赌注很高,人们也可能非常愚蠢而没有意识到真正的风险。如果您确实使用密码管理器,您多久更改一次?谷歌表示,60%的人只在必要时交换密码。而这一切都忽略了它们对网络钓鱼攻击、键盘记录器和各种其他漏洞的敏感性。
当你认真对待它时,密码并不能很好地完成他们应该做的事情。那么,为什么不摆脱它们呢?这是安全的梦想,也是FIDO联盟的目标之一:更好地替代密码。
熟悉双因素身份验证如何广泛工作的人可能已经了解无密码身份验证如何建立在它之上。如果不是,请以信任链的方式思考,您知道您可以信任某些设备,因为它们已经登录。而不是仅仅依赖您知道的东西——可以通过其他方式共享、钓鱼或分发意思是——通过像FIDO2这样的系统的无密码身份验证依赖于你必须证明你是你的东西。根据公告,谷歌选择使用你的手机(尽管它也可能使用其他东西,比如一些支持FIDO2无密码身份验证的硬件2FA安全密钥)。
除非您是真正的穴居人,否则我们都在某处拥有电话,而且这几乎肯定与您的所有个人帐户有关。谷歌可以使用该手机来验证未来的登录。替换密码本身就是解锁手机的过程,使用PIN码、生物识别技术或密码(诚然,后者有点违背目的和便利性)。您可能认为这听起来不太安全。毕竟,多年来我们一直认为越长越复杂越好,密码不比几个数字更复杂吗?您可以更改密码,但不能更改指纹。
它当然看起来不太安全。但事实是,这些都没有真正的影响。没有人会窃取您的PIN码并使用它从俄罗斯的计算机登录;他们需要您的手机才能正常工作。更简单并不是反对它的观点。无密码身份验证只是让事情变得更加方便,同时仍然比单独使用密码更安全。这样,就无需记住复杂的密码,也无需额外的密码管理器进行交互。您的手机是一个简单而安全的选择。
与硬件双因素密钥一样,大多数手机都可以安全地存储加密密钥。通过公钥密码术的数学运算,可以将存储的密钥与您的帐户相关联,并验证手机与您绑定。这样,当您登录时,Google可以ping手机,并且快速解锁证明a)您是绑定到该手机的人,因为您能够通过安全机制解锁它,并且b)登录尝试是有效的。当谈到此操作的逻辑时,唯一真正的变化是将密码本身作为一项要求删除,尽管还有其他技术障碍需要清除。例如,FIDO2具有在浏览器中工作的WebAuthnAPI等先决条件,并且需要首先广泛推出对这些的支持。Chrome早在2018年就把它捡起来了。
即将推出,已经在这里
无密码安全的想法听起来可能是革命性的,但这并不是什么新鲜事。Yubico的5系列硬件安全密钥从2018年开始支持无密码FIDO2。去年,微软推出了对无密码身份验证的支持,它甚至提供了完全禁用帐户密码的选项。作为FIDO联盟的一部分,谷歌帮助开创了无密码安全的理念,据微软称,Chrome已经在某些平台上支持通过FIDO2进行无密码身份验证,尽管它还没有在移动设备上运行。但是,既然任何挥之不去的先决条件都已经到位——我们使用的浏览器支持正确的标准,手机(包括iPhone)可以安全地存储所需的密钥——谷歌已经决定是时候了。
没有分享Android和Chrome中无密码支持的精确时间表。我认为Google只是想利用PasswordDay让人们知道,作为与其他参与公司的联合声明的一部分,支持即将到来。虽然微软可以说已经加入了这个潮流一段时间,但它也是今天宣布的一部分。今天,Apple也加入了自己的承诺——鉴于iOS15、iCloud和macOS12Monterrey都支持Apple的Passkeys功能作为预览版,这不足为奇。
双因素身份验证已经非常安全了——尤其是如果你使用的是带有硬件安全密钥或基于应用程序的生成器而不是SMS消息的大男孩版本——但缺乏便利性阻止了一些人采用它。安全并不意味着它易于使用,我认为携带专用硬件密钥实际上非常复杂。无密码支持带来了相同级别的安全性,任何人都可以使用方便和简单,从而更好地鼓励采用。37%的调查受访者声称他们是被盗帐户的受害者,密码失效可能是我们遇到过的最好的事情之一。
免责声明:本文由用户上传,如有侵权请联系删除!
