科技行业想要破解密码。或者是吗?

交叉写在笔记本上的密码。
designer491 /存在Shutterstock

有些人无法停止谈论密码的死亡。 密码旧,不安全,容易泄露。 很快,我们都将使用生物识别技术,硬件安全密钥和其他未来的解决方案 - 对吧? 好吧,不是那么快。

我们采访了1Password的安全负责人Jeffery Goldberg,他说,他“谨慎乐观地认为,这次我们可能会看到密码问题出现问题。”

这是乐观的看法,而且远不是密码的死亡。

人们为什么要杀死密码

微软安全团队在2018年5月讨论公司“ 建立一个没有密码的世界 ”的目标时写道:

“没有人喜欢密码。 它们不方便,不安全且昂贵。 事实上,我们非常不喜欢他们,以至于我们一直在努力创造一个没有他们的世界 - 一个没有密码的世界。“

随着时间的推移,密码变得更加烦人,我们都会因为重用密码而变得明智。 如果您在多个站点上使用相同的密码并且密码泄露,则可以使用您的密码在其他网站上访问您的帐户。 因此,您需要为您使用的每项服务选择一个强大的唯一密码。 在少数几个网站上重复使用简短密码的日子已经一去不复返了。

对于大多数没有超人记忆的人来说,每个在线帐户都无法记住一个强大的,唯一的密码。 这就是我们推荐密码管理器的原因 - 他们会为您记住所有这些强大,独特的密码。 您只需记住您的主密码,这比记住100更容易,并且比重复使用相同的密码更安全。

但即使使用密码管理器,这也不是完全安全的。 系统上有键盘记录器的人可以捕获您的密码并以您的身份登录。 这就是服务增加额外安全性的原因。 我们经常输入密码,然后必须使用代码或密钥进行第二次验证。

有没有更好的办法?

什么可以替换密码?

将Yubikey物理USB安全密钥插入笔记本电脑的USB端口。

戈德伯格表示,在过去的二十年里,他看到了“计划后计划”提议杀死密码 - 其中很多都没有从过去的失败中吸取教训。 但是由于更强大的本地设备的进步,较新的可能有更大的成功机会。

生物识别技术可以替代密码。 您可以使用Touch或Face ID(生物识别)登录iPhone而不是输入PIN。 Android手机也具有指纹和面部登录功能。

您现在还可以创建“无密码”Microsoft帐户以登录Windows。 您的用户名是您的电话号码,您输入的“密码”是通过短信发送到您的电话号码的代码。

您还可以使用物理安全密钥而不是密码来验证您的在线帐户。 您随身携带钥匙(您甚至可以将钥匙链放在钥匙串上),并在登录时通过USB,NFC或蓝牙使用钥匙。

手机也可以替代密码。 Google现在允许Android设备充当FIDO2密钥 登录笔记本电脑上的网站时,您可能还需要使用手机上的指纹进行身份验证。

许多公司试图通过提供“单点登录”提供商来减少对密码的依赖。 这是当您登录Facebook,Google等,然后使用该帐户登录其他服务时 - 无需其他密码。

密码“替换”不替换密码

设备密码屏幕。

不过,这里有一个很大的问题。 被称为密码“替代品”的技术实际上并不是替代品 - 至少目前还没有。

生物识别技术,如Face或Touch ID,仍然需要在您的设备上使用密码和Apple ID密码。 某些任务也需要PIN才能用于后台加密。 Windows 10上的Android和Windows Hello上的生物识别功能以相同的方式工作 - 基本上是一种便利功能。 登录您的设备更容易,因为您不必每次都输入密码,但它不会替换您的密码。

向您发送电话代码的无密码帐户也不是很好。 每次您尝试登录并通过短信发送给您时,此服务都会生成一个新密码,而不是您帐户的一个密码。 这比单个密码的传统方法加上您登录时发送给您的安全代码更不安全。

不幸的是,攻击者在很多情况下很容易窃取电话号码,这使得安全性降低。 对于电话号码无处不在的国家/地区的人们来说,这是一种很好的方法,它可以减少注册帐户的摩擦,这也是亚马逊提供这种服务的原因。 但它不是替换密码的好方法。

大多数采用物理安全密钥的服务都将它们用作附加身份验证选项 您仍然使用密码登录,然后提供安全密钥作为进入的辅助确认。使用没有密码的密钥的能力还有很长的路要走。

单点登录服务也存在隐私问题。 当您点击“使用Google登录”或“使用Facebook登录”时,服务运营商Google或Facebook会知道您要登录的内容。

永远是密码(在后台)

即使谷歌用手机取代密码的梦想实现了,也不会消除密码。 Verge以这种方式总结了谷歌的计划: “如果你已经登录到手机,那么这可以用来'引导'你要登录谷歌帐户的下一个设备。”

您可能会长时间避免使用密码,但它仍然存在于后台。 毕竟,如果你丢失了所有设备,你将需要它。

密码仍然很普遍。 它们易于设置和使用。 密码“替换”提供更多便利或额外的安全性。 但是,如果您丢失设备并且无法使用生物识别或硬件安全性,您将始终需要一种方法来重新获得访问权限。

“我认为总会有边缘案件需要密码,”1Password的首席运营官Matt Davey说道。 例如,在iOS 13中使用Apple登录可提供基于Web的登录选项,该选项在您登录非Apple设备时使用Apple ID密码。 密码可以在任何地方使用,并且在没有花哨的生物识别或硬件安全功能时是通用默认设置。

正如戈德伯格所说,网站实施的“密码真的非常容易”。 “对于服务运营商而言,它们仍然是最直接的选择。”

这就是为什么1Password看好密码管理器的未来。 该公司表示,随着竞争的加剧,它已经看到了更多的新用户,Apple,Google和Mozilla等公司对密码管理更加认真。

未来该何去何从?

杀死密码的梦想还有很长的路要走。 即使这个过程进展顺利,最好的情况是我们会慢慢前进,更容易替代密码。

有一天,密码可能会降到背景,以至于它们将成为一种长期被遗忘的帐户恢复方法。 但它们可能会存在很长一段时间。 消除他们为大多数人日常使用的战斗将是漫长而艰苦的。 但完全杀死密码? 这更难以想象。

赞 (0)
分享到:更多 ()