Descargitas

来自中国的最新突发新闻。

为什么密码可能成为过去

为什么密码可能成为过去

如今,智能手机无处不在,应用程序和它们带来的许多东西也无处不在。 对于每个应用程序(少数除外),您都需要一个密码。 其实有很多方法 密码 在人们的生活中。 如果仅密码还不足以让您生气,那么保留“困难”密码的整个概念-有些需要大写,有些需要特殊字符,有些需要数字-您真的开始怀疑整个密码的危险密码。 没有密码的世界可能吗? 苹果谷歌微软IBM 许多其他人当然也这么认为。


没有密码,世界将如何运作?

视频联盟 是一个开放的行业联盟,于 2013 年公开。其想法是减少世界对密码的过度依赖。 FIDO 联盟致力于创造一个没有密码的世界已经快 10 年了,但现在它更接近现实。 FIDO Alliance 首席执行官 Andrew Shekiar 解释了没有密码的世界将如何运作。
这一切都始于存储在笔记本电脑、手机和其他设备上的 FIDO 凭证或加密密钥,可用于安全身份验证。 当 FIDO 凭证从最初创建它的设备(通常是手机或计算机)自动同步到另一个用户的设备时,称为“多设备凭证”。
这一新功能建立在之前的“单一设备凭证”功能的基础上,即 FIDO 凭证只能在单一设备上使用,并且不能以这种方式备份和恢复。 “这一最新进展对于转向更广泛的无密码解决方案非常重要,因为它使用户能够在设备之间传输凭据,”Shekiar 解释说。
从外行的角度来看,这与使用文件非常相似 密码管理器 它帮助用户登录。 但是,安全级别优于传统的双因素身份验证 – 在身份验证期间无需任何额外的步骤或硬件。

就像密码管理器处理密码一样,它将依赖操作系统平台将属于 FIDO 凭据的加密密钥从一台设备同步到另一台设备。
苹果、谷歌和微软——世界上最大的平台供应商——已经确认了他们支持无密码登录标准的承诺。 “删除密码的道路可能很长,但这是使它们在消费者和企业领域成为现实的重要一步,”Shekiar 认为。
随着所有领先平台的融合,IBM 印度软件实验室 IBM 安全总监 Vishal Kamat 认为,“解决方案开发人员将有巨大的机会将安全性集成到他们的解决方案结构中,同时在整个应用程序领域推动一致的消费者体验。 ”
Sampath Srinivas,谷歌安全认证 PM 总监兼 FIDO 联盟总裁,在一篇博文中详细介绍了它在手机上的工作原理。 手机将存储一个称为密​​码的 FIDO 凭据,用于在线解锁您的帐户。 Srinivas 指出,“密码使登录更加安全,因为它基于公钥加密,并且仅在您解锁手机时对您的在线帐户可见。”
如果您在计算机上登录,则需要访问手机,因为您只需解锁它即可获得访问权限。 然而,这将是一次性的,Srinivas 解释说。 “即使您丢失了手机,您的密钥也会从您的云备份安全地同步到您的新手机,让您可以从旧设备停止的地方重新开始,”Srinivas 补充道。
FIDO 联盟的 Shikiar 表示,无密码世界的三个主要优势将是 – 用户更容易登录,可以抵御网络钓鱼并提供更强大的系统。 人们忘记密码也就不足为奇了——这可能是你几个月没有预订的优步,也可能是你想访问的旧电子邮件 ID。 问题是,如果它们是旧帐户,您将不记得您的备用电子邮件 ID 或电话号码。 只要您有电话,用户就可以登录,因为没有什么可忘记的。
对于服务提供商而言,这将需要对其身份验证和身份系统进行一些更新,以启用 FIDO 功能。

“在过去的几年里,来自世界各地的数百家技术公司和服务提供商在 FIDO 联盟和 W3C 内进行了合作,以创建已在数十亿台设备和所有现代 Web 浏览器上支持的无密码登录标准,”Shekiar 说。
“密码正在迅速过时,这实际上是一个‘何时’的问题,而不是‘如果我们要拥有一个没有密码的世界’,”Kamat 说。 迄今为止,密码(弱密码或被盗密码)是当今网络攻击的头号原因,这已不是什么秘密,因此,密码已成为网络安全防御链中最薄弱的一环。
Check Point Software Technologies 印度和 SAARC 董事总经理 Sundar Balasubramanian 认为,随着无密码环境标准变得更加根深蒂固,以及复杂的无密码身份验证技术的数量增加,无密码方案可能成为现实。
“使用分布式账本(例如:区块链)存储数字身份信息,使用基于风险的身份验证等 AI 技术的多线程身份验证决策,以及采用零信任框架来保护数字信息是我们遵循的一些趋势预计将在未来两到三年内成熟。即将到来,”Kamat 说。


在无密码世界中,用户隐私和安全会发生什么变化?

Shikiar 认为,没有密码,网络安全的健康度将大大提高。 密码和第二因素身份验证(例如 OTP 和应用内推送通知)既不方便也不安全。 “他们可以在他们活着的时候被猎杀 今天它正在被大规模猎杀,”他补充道。

另一方面,Balasubramanian 认为,尽管无密码身份验证似乎是一种安全且简单的方法,但它也存在一系列问题。 融资和移民的困难可以被认为是最紧迫的问题之一。 他继续解释说,“即使使用无密码身份验证,恶意软件、浏览器中的人以及其他攻击也是可能的。例如,网络犯罪分子可以安装补丁软件来拦截一次性密码 (OTP)。他们甚至可能感染网络带有木马的浏览器拦截共享数据,例如一次性密码或魔术链接。 此外,网络犯罪分子已经证明,录音和其他生物特征也被复制了。
Kamat 还将没有密码的世界视为机遇。 “这是一个利用现代技术对我们的身份验证系统进行现代化改造的机会,这将改善消费者体验,同时使我们的交易更加安全,”他解释道。
Shikiar 认为有必要在日常设备中提供支持,它认为无密码世界需要处理无处不在的密码和 SMS OTP。 这就是为什么他认为苹果、谷歌和微软的承诺很重要。 “他们的承诺还将为服务提供商提供更多样化的选择,以部署现代、防网络钓鱼的身份验证方法,”他补充道。
“对于普通用户而言,这无疑是在安全身份验证方面向前迈出的一大步,他们不太可能使用最强的密码,但从统计数据来看,更有可能在站点和服务中重复使用它们,”Balasubramanian 说。