Google開(kāi)始淘汰傳統(tǒng)密碼,通行密鑰時(shí)代或來(lái)臨

安全牛編譯整理
全球有數(shù)十億用戶(hù)每天都在不同設(shè)備上使用密碼作為應(yīng)用系統(tǒng)的登錄口令,雖然密碼的重要性不容小覷,但糟糕的密碼管理和使用方法比比皆是。據(jù)2022年《Verizon數(shù)據(jù)泄露事件報(bào)告》數(shù)據(jù)顯示,超過(guò)80%的數(shù)據(jù)泄露是由于被竊取或破解的賬戶(hù)密碼所引發(fā),但很多用戶(hù)并沒(méi)有意識(shí)到潛在的危險(xiǎn)。

360截圖16251112669372.png

本文來(lái)自微信公眾號(hào)“安全牛”,由安全牛編譯整理。

在保護(hù)用戶(hù)網(wǎng)絡(luò)安全的戰(zhàn)場(chǎng)上,密碼一直都站在最前沿。但密碼技術(shù)本身,也有著易遭破解、難于記憶、管理不便等不足和應(yīng)用挑戰(zhàn)。在今年的世界密碼日前夕,Google公司正式發(fā)布了一項(xiàng)新服務(wù)——通行密鑰(Passkey),幫助用戶(hù)以更簡(jiǎn)單、更安全的方式登錄谷歌賬號(hào),以取代傳統(tǒng)的密碼口令登錄模式。

谷歌身份與安全產(chǎn)品經(jīng)理克里斯蒂安·布蘭德表示:傳統(tǒng)的密碼驗(yàn)證模式已經(jīng)不再適應(yīng)當(dāng)前的數(shù)字化應(yīng)用發(fā)展水平,不僅用戶(hù)體驗(yàn)感差,而且其技術(shù)本身也容易被惡意破解、釣魚(yú)詐騙以及違規(guī)使用。而通過(guò)此次發(fā)布的Passkey技術(shù),則可以有效避免這些問(wèn)題的出現(xiàn)。

傳統(tǒng)密碼口令已死?

全球有數(shù)十億用戶(hù)每天都在不同設(shè)備上使用密碼作為應(yīng)用系統(tǒng)的登錄口令,雖然密碼的重要性不容小覷,但糟糕的密碼管理和使用方法比比皆是。據(jù)2022年《Verizon數(shù)據(jù)泄露事件報(bào)告》數(shù)據(jù)顯示,超過(guò)80%的數(shù)據(jù)泄露是由于被竊取或破解的賬戶(hù)密碼所引發(fā),但很多用戶(hù)并沒(méi)有意識(shí)到潛在的危險(xiǎn)。

在采用密碼技術(shù)之后,很多企業(yè)和個(gè)人都認(rèn)為可以有效保護(hù)系統(tǒng)和敏感數(shù)據(jù)的訪問(wèn)安全。然而,傳統(tǒng)密碼登錄驗(yàn)證模式的缺陷也非常明顯:

首先,密碼口令在本質(zhì)上就是不安全的,它們可能被盜、被猜測(cè)或被暴力破解,特別是隨著計(jì)算能力的提升,傳統(tǒng)密碼技術(shù)被破解的難度在不斷降低;

其次,但很多情況下,用戶(hù)并不了解如何正確使用(或設(shè)置)密碼,弱密碼和密碼重用的情況普遍存在;

此外,我們每個(gè)人都在使用十多個(gè)甚至近百個(gè)密碼,如何記住這么多的用戶(hù)名和密碼組合,還要定期更改,在管理上并不容易。盡管密碼管理器可以幫助用戶(hù)管理復(fù)雜密碼,但也只是一個(gè)折中措施,無(wú)法從根本上保證安全性。

由于以上難以解決的不足和挑戰(zhàn),企業(yè)面臨的最大安全風(fēng)險(xiǎn)之一就是將不安全的密碼技術(shù)作為身份驗(yàn)證的主要方法。在此背景下,包括微軟、蘋(píng)果和Google在內(nèi)的領(lǐng)先科技廠商都在積極開(kāi)發(fā)一種更先進(jìn)的無(wú)密碼登錄技術(shù)和標(biāo)準(zhǔn),以實(shí)現(xiàn)更高的安全性和保護(hù)性。而本次Passkey服務(wù)功能發(fā)布,則是替代傳統(tǒng)密碼驗(yàn)證技術(shù)的一個(gè)重要標(biāo)志。

Passkey其實(shí)并不是一種新技術(shù),而是密碼學(xué)中“非對(duì)稱(chēng)加密”在登錄認(rèn)證中的一種創(chuàng)新應(yīng)用。Passkey可以被理解為是“生物密碼”技術(shù)和“授權(quán)登錄”技術(shù)的結(jié)合。用戶(hù)可以在Android手機(jī)上創(chuàng)建一個(gè)基于公鑰加密的密鑰憑據(jù),并需要對(duì)該憑據(jù)進(jìn)行生物特征識(shí)別,比如“指紋”或者“面部識(shí)別”等。與傳統(tǒng)密碼相比,Passkey可以給用戶(hù)帶來(lái)更好的使用體驗(yàn),而且能夠更好地應(yīng)對(duì)憑據(jù)盜竊、網(wǎng)絡(luò)釣魚(yú)和社會(huì)工程欺詐等攻擊。

通行密鑰推廣應(yīng)用的挑戰(zhàn)

據(jù)布蘭德介紹,Google計(jì)劃在未來(lái)幾個(gè)月重點(diǎn)推廣Passkey,并敦促用戶(hù)將傳統(tǒng)的密碼登錄方式轉(zhuǎn)換為Passkey。盡管我們非常期待以Passkey為代表的無(wú)密碼技術(shù)帶來(lái)易用性、安全性和廣泛性等多維度的變革,但是要在更多企業(yè)組織中推廣應(yīng)用類(lèi)似Passkey技術(shù)可能并不容易。

研究人員發(fā)現(xiàn),阻礙無(wú)密碼登錄技術(shù)應(yīng)用的關(guān)鍵因素并不是技術(shù)本身的缺陷或限制,而是由于很多企業(yè)中身份和驗(yàn)證管控的現(xiàn)狀。很多企業(yè)中,身份管理和身份驗(yàn)證仍然是相對(duì)獨(dú)立的,而很多廣泛使用的應(yīng)用程序在設(shè)計(jì)開(kāi)發(fā)時(shí),并沒(méi)有合理考慮如何支持通行密鑰等無(wú)密碼登錄驗(yàn)證新模式。盡管Passkey是一種解決身份安全驗(yàn)證和用戶(hù)體驗(yàn)的有效辦法。但是只有消除身份管理和身份驗(yàn)證之間的隔斷,該技術(shù)才有希望真正在更多企業(yè)中落地應(yīng)用。

此外,通行密鑰要真正取代傳統(tǒng)的密碼驗(yàn)證方法,還必須能夠廣泛適配企業(yè)復(fù)雜的數(shù)字化環(huán)境,包括能夠兼容各種網(wǎng)站應(yīng)用、智能手機(jī)和桌面應(yīng)用程序,同時(shí)還要支持?jǐn)?shù)量眾多的操作系統(tǒng)版本和環(huán)境。這對(duì)服務(wù)提供商將是一個(gè)棘手問(wèn)題,因?yàn)檫@意味著必須在所有這些環(huán)境中安全、穩(wěn)定、便捷地共享使用密鑰,要實(shí)現(xiàn)這種互操作性并不容易。

同時(shí),面向企業(yè)級(jí)用戶(hù)和面向消費(fèi)者的通行密鑰解決方案在設(shè)計(jì)和實(shí)施上也會(huì)存在巨大差異。消費(fèi)級(jí)產(chǎn)品主要需求是管理數(shù)百萬(wàn)個(gè)通行密鑰,需要彈性擴(kuò)展能力以支持這種巨大的工作負(fù)載。而企業(yè)組織更希望讓所有員工能夠更安全地在各種設(shè)備、瀏覽器和網(wǎng)站之間實(shí)現(xiàn)互操作性,因此需要將密鑰與使用者的身份進(jìn)行強(qiáng)驗(yàn)證和綁定。

誠(chéng)然,無(wú)密碼技術(shù)應(yīng)用的時(shí)代已到來(lái)。但是要構(gòu)建企業(yè)級(jí)通行密鑰解決方案還需要研究人員繼續(xù)努力。也許到了2024年的世界密碼日,我們就可以看到傳統(tǒng)密碼驗(yàn)證技術(shù)的真正消亡。

THEEND

最新評(píng)論(評(píng)論僅代表用戶(hù)觀點(diǎn))

更多
暫無(wú)評(píng)論