苹果、谷歌和微软宣布他们很快将支持一种完全避免密码的身份验证方法,让用户只需解锁智能手机即可登录网站或在线服务。专家表示,这些变化将有助于抵御多种类型的网络钓鱼攻击,并减轻互联网用户的总体密码负担。但值得注意的是,对于大多数网站而言,可能需要数年时间才能真正迎来无密码时代。科技巨头正在参与一项由行业主导的密码改革工作,这些密码往往不被注意,而且经常被恶意软件和网络钓鱼攻击窃取,或在公司数据泄露后在网上曝光和出售。Apple、Google和Microsoft是快速身份在线(FIDO)联盟和万维网联盟(W3C)开发的无密码登录标准的积极贡献者。在过去十年中,这些团体与数百家科技公司合作,开发了一种与多种浏览器和操作系统兼容的新登录标准。根据FIDO联盟的说法,用户将能够通过他们每天多次解锁设备所用的相同操作登录网站——包括设备PIN、指纹和面部识别等生物识别技术。该联盟在5月5日写道:“这种新方法可以防止网络钓鱼攻击,并使登录从根本上比密码和传统的多因素身份验证技术(例如通过短信发送的一次性密码)更安全。”在新系统下,您的手机将存储谷歌安全认证主管兼FIDO联盟主席SampathSrinivas表示,一种称为“密码”的FIDO凭证,用于解锁你的在线账户。“密码使登录更加安全,因为它基于公钥密码术,并且只有在您解锁手机时才会显示在您的在线帐户中,”Srinivas写道。“要在电脑上登录网站,只需将手机放在附近,系统会提示你解锁它以进行访问。完成此操作后,你将不再需要手机,只需解锁电脑即可登录”Apple、Google和Microsoft已经支持这些免密码标准(例如“使用Google登录”),但用户需要在每个网站上登录才能使用免密码功能。在这个新系统下,用户将能够在许多设备上自动访问他们的密钥,而无需为每个帐户重新注册,并且可以使用他们的移动设备登录附近设备上的应用程序或网站。SANS技术研究所研究主任约翰内斯·乌尔里希(JohannesUllrich)称该公告是“迄今为止解决身份验证挑战的最有希望的尝试”。“该标准最重要的部分是它不需要用户购买新设备,相反他们可以使用他们已经拥有的设备并用于身份验证,”Ullrich说。哥伦比亚大学计算机科学教授、早期互联网研究员和先驱史蒂夫贝洛文称无密码尝试是身份验证的“巨大进步”,但也表示许多网站需要很长时间才能赶上。Bellovin等人在这种新的无密码身份验证方案中有一个潜在的棘手场景。比方说,当某人丢失或损坏移动设备并且他们无法恢复其iCloud密码时会发生什么。“我担心那些买不起额外设备,或者无法轻易更换损坏或被盗设备的人,”Bellovin说。“我担心找回忘记的云账户密码。”你的密钥也将从你的云备份安全地同步到你的新手机,让你可以从旧设备中断的地方继续。”Apple和Microsoft也有云备份解决方案,用户可以使用这些平台从丢失的移动设备中恢复过来。但Bellovin表示,很大程度上取决于管理此类云系统的安全性。“在未经授权的情况下将另一台设备的公钥添加到帐户有多容易?”贝洛文想知道。“我认为他们的协议让这成为不可能,但其他人不同意我的看法。”加州大学伯克利分校计算机科学系讲师尼古拉斯韦弗表示,该网站仍需要对“丢失的手机和密码”进行一些恢复。机制,他称之为“一个难以解决的问题,并且已经是我们当前系统中最大的弱点之一”。韦弗在一封电子邮件中说:“如果你忘记了密码,丢失了手机,并且可以找回它,它就会成为攻击者的一个巨大目标。”“如果您忘记了密码并丢失了手机并且无法找回它,那么现在您已经丢失了用于登录的授权令牌。必须是后者。Apple拥有支持它的基础架构(iCloudKeychain),但谷歌支持并不清楚。”即便如此,他说,整体FIDO方法一直是提高安全性和可用性的绝佳工具。“这是向前迈出的非常好的一步,我很高兴看到这一点,”Weaver说。“利用手机强大的身份验证功能(如果你有一个不错的密码)很好。至少对于iPhone来说,即使手机被黑客入侵,你也可以让它变得安全和强大,因为它的SecureEnclave技术可以处理这个问题,而且SecureEnclave不信任主机操作系统。”、谷歌和微软平台。但专家表示,小型网站可能需要数年时间才能采用该技术并完全放弃密码。最近的研究表明,仍有许多人重复使用或回收密码(略微修改相同的密码),当这些凭据最终暴露在数据泄露中时,就会产生帐户泄露的风险。网络安全公司SpyCloud3月份的一份报告发现,64%的用户在多个账户中重复使用相同的密码,并且在之前的违规行为中泄露的密码中有70%仍在使用。
