2

密码将被你的手机取代?-51CTO.COM

 2 years ago
source link: https://netsecurity.51cto.com/article/708467.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

密码将被你的手机取代?-51CTO.COM

密码将被你的手机取代? 译文
作者:Blue 2022-05-09 17:23:02
过去十年,FIDO联盟和W3C联盟与数百家科技公司合作开发一种新的登录标准,该标准可兼容多个浏览器和操作系统。

苹果、谷歌和微软近日宣布,他们将很快支持一种完全避免使用密码的身份验证方法,用户只需解锁智能手机即可登录网站或在线服务。专家表示,这些改变将有助于抵御多种类型的网络钓鱼攻击,并减轻互联网用户的整体密码负担。但值得注意的是,对于大多数网站来说,可能还需要数年时间才能真正迎来无密码时代。

这些科技巨头是行业主导密码革新工作的一部分,这些密码很容易被忽视,经常被恶意软件和网络钓鱼攻击窃取,或者在企业数据泄露后被曝光并被在线出售。

苹果、谷歌和微软是快速在线身份认证(FIDO)联盟和万维网联盟(W3C)制定的无密码登录标准的积极贡献者。过去十年,这些组织与数百家科技公司合作开发一种新的登录标准,该标准可兼容多个浏览器和操作系统。

据 FIDO 联盟介绍,用户将能够通过每天多次解锁设备的相同操作来登录网站——包括设备 PIN 码、指纹以及面部识别等生物特征。

该联盟在 5 月 5 日写道:“与密码和传统的多因素认证技术(例如通过短信发送的一次性密码)相比,这种新方法可以防止网络钓鱼攻击,使登录从根本上更加安全。”

谷歌安全认证主管兼 FIDO 联盟主席Sampath Srinivas表示,在新系统下,你的手机将存储一个名为“密码”的 FIDO 凭证,用于解锁你的在线帐户。

“密码使登录更加安全,因为它基于公钥加密,并且仅在你解锁手机时才会显示在您的在线帐户中,”Srinivas 写道。“要在你的电脑上登录网站,只需将手机放在附近,系统就会提示你解锁以进行访问。完成此操作后,将不再需要手机,只需解锁电脑即可登录。”

苹果、谷歌和微软已经支持这些无密码标准(例如“使用 Google 登录”),但用户需要在每个网站上登录才能使用无密码功能。在这个新系统下,用户将能够在许多设备上自动访问他们的密钥,无需重新注册每个帐户,可以用他们的移动设备登录附近设备上的应用或网站。

SANS 技术研究所研究主任Johannes Ullrich称该声明是“迄今为止解决身份验证挑战最有希望的尝试”。

“该标准最重要的部分是它不需要用户购买新设备,而是可以使用他们已经拥有并会使用的设备来用作身份验证。”Ullrich 说。

哥伦比亚大学计算机科学教授、早期互联网研究者和先驱Steve Bellovin 称,这种无密码尝试是身份验证领域的“巨大进步”,但他还表示,许多网站需要很长时间才能赶上这种变革。

Bellovin 等人表示,在这种新的无密码身份验证方案中,存在一个潜在的棘手场景,即当有人丢失或损坏移动设备时,他们无法追回 iCloud 密码时会是什么情况。

“我担心那些买不起额外设备,或者无法轻易更换损坏或被盗设备的人,”Bellovin 说,“我担心云帐户密码遗忘的恢复问题。”

谷歌表示,即使你的手机丢失了,“你的密钥也会从云备份安全地同步到新手机上,让你可以从旧设备停止的地方继续使用。”

苹果和微软也有云备份解决方案,用户可以使用这些平台从丢失的移动设备中恢复。但Bellovin表示,这在很大程度上取决于管理此类云系统的安全性。

“在未经授权的情况下将另一台设备的公钥添加到帐户中有多容易?” Bellovin想知道。“我认为他们的协议让这变得不可能,但其他人不同意我的看法。”

加州大学伯克利分校计算机科学系讲师Nicholas Weaver表示,对于“丢失手机和密码”的情况,网站仍然需要一些恢复机制,他称这是“一个很难解决的问题,已经是我们当前系统中最大的弱点之一”。

“如果你忘记密码,丢失了手机,并且可以找回它,这将成为攻击者的巨大目标。” Weaver在一封电子邮件中表示。“如果你忘记密码丢失手机而且不能找回,那么现在你已经丢失了用于登录的授权令牌。它必须是后者。苹果拥有支持它的基础设施(iCloud 钥匙串),但尚不清楚谷歌是否支持。”即便如此,他表示,整体 FIDO 方法一直是提高安全性和可用性的绝佳工具。

“这是向前迈出的非常好的一步,我很高兴看到这一点,”Weaver表示,“利用手机的强大身份验证功能(如果你有一个像样的密码)非常好。至少对于 iPhone 来说,即使手机受到攻击,你也可以让它变得安全牢固,因为它的Secure Enclave技术可以处理这个问题,而Secure Enclave不信任主机操作系统。”

科技巨头们表示,新的无密码功能将于明年在苹果、谷歌和微软平台上启用。但专家表示,小型网站可能需要几年时间才能采用该技术并完全放弃密码。

最近的研究表明,仍有很多人重复使用或回收密码(稍微修改相同的密码),当这些凭据最终暴露在数据泄露中时,将会带来帐户被入侵的风险。网络安全公司SpyCloud 在3 月的一份报告中发现,64% 的用户在多个帐户中重复使用同一密码,而且在之前的入侵中泄露的密码,有70% 仍在使用中。


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK