沒密碼賬號更安全谷歌 沒在開玩笑
如果涉及微信、支付寶、銀行和電商平台這類關鍵賬戶,不僅會極大地影響日常生活,也觸碰到了極為敏感的財產安全,壹旦泄露可能引起無可挽回的損失。另壹方面,用戶也要面對密碼泄露的成本,壹部分賬號或許可以自助修改密碼,無非花費壹些可預計的時間,另壹部分已經被篡改的賬號,可能就需要用戶提供足夠的信息「證明你是你」。
本質上密碼就是用來證明身份的工具,問題也恰恰於此——密碼說到底也只是壹串文本。不管是撞庫、釣魚郵件還是僵屍網絡,作為身份證明工具的密碼都太容易泄露和盜用,密碼管理器和兩步驗證可以完善對「密碼」的保護,但除了較高的學習和使用成本,並不能改變密碼容易被盜用和篡改的本質。
個人密碼,從入門到放棄
賬號密碼幾乎是伴隨著早期互聯網而起,最典型的應用就是郵箱,但對中國 90 年後生人來說,可能更多是在 QQ 上記住了第壹個賬戶和密碼。而即便是在 QQ 興起的新千年初,隨著大量網站和軟件的湧現,互聯網用戶注冊了壹個又壹個賬戶,大部分人事實上只能記住少數的用戶名和密碼,很多時候都是重復使用同樣的密碼,或是用上「手寫密碼」這種笨方法。
但到後來,網絡安全的攻防戰越發激烈,再加之軟件應用的大爆發也帶來了大量的賬號,於是也就有了 LastPass 等密碼管理器應運而生。通過記住壹個密碼管理「所有賬戶的不同密碼」,密碼管理器在壹定程度上確實解決了安全和便利的矛盾。
不過風險實際在轉移——壹旦密碼管理器的密碼泄露,所有賬戶都將全數暴露。LastPass 作為用戶規模最大的密碼管理器之壹,就多次遭遇了攻擊泄露事件,最近的壹次發生在去年 8 月。即便是公認更安全的 1Password 和 Bitwarden(開源),同樣也有可能發生數據泄露安全事故。
也是看到個人密碼在安全方面的風險,兩步驗證開始逐漸流行,比如手機短信和郵箱驗證碼或是基於時間的驗證器密鑰(安全性更高)。然而更安全的驗證器始終沒有流行開來,遠比短信和郵箱驗證碼來得小眾,使用成本上也確實更高,需要增加查看和復制壹次性密鑰的步驟,還要考慮時間。
通行密鑰與密碼的區別,圖 / 蘋果
同樣從身份證明這個角度出發,微軟、谷歌和蘋果主推的通行密鑰,則將以往需要儲存在服務器端的登錄信息,替換為了非對稱加密技術中的口令。當用戶為某個賬戶創建通行密鑰時,用戶設備上會生成壹對公私密鑰,賬戶服務器只會獲取並存儲「公鑰」,攻擊者無法從服務器上的數據推導出存儲在用戶設備上,完成身份驗證必需的「私鑰」。並且因為沒有「密碼」,通行密鑰也不存在「密碼強度」「重復使用」等問題。
就像蘋果認證體驗團隊的 Garrett Davidson 在去年 WWDC 上指出,有了通行密鑰,重復使用、撞庫、密碼泄露和網絡釣魚等問題,都不再可能。
而在使用上,通行密鑰與用戶可信賴的設備綁定,支持設備上的指紋識別、Face ID、Windows Hello 以及 PIN 認證等。當然,用戶也能將手機作為主要的驗證設備,或者說「鑰匙」來登錄所有賬戶,不需要輸入任何東西,壹次識別就能實現身份驗證,大大簡化了過去兩步驗證 + 密碼管理器 + 自動填寫密碼的形式。同時基於 FIDO 協議,用戶可以使用 iPhone 上的通行密鑰,在運行微軟 Windows 的設備上登錄谷歌 Chrome 瀏覽器。
憑借更安全的機制、更簡單的驗證步驟,幾乎可以預見,通行密鑰將完全取代密碼。換句話說,可信賴的本地設備(比如手機)將在真正意義上成為我們不同網絡身份的萬能鑰匙,打開的是壹個「無密碼」的世界。
[物價飛漲的時候 這樣省錢購物很爽]
這條新聞還沒有人評論喔,等著您的高見呢
本質上密碼就是用來證明身份的工具,問題也恰恰於此——密碼說到底也只是壹串文本。不管是撞庫、釣魚郵件還是僵屍網絡,作為身份證明工具的密碼都太容易泄露和盜用,密碼管理器和兩步驗證可以完善對「密碼」的保護,但除了較高的學習和使用成本,並不能改變密碼容易被盜用和篡改的本質。
個人密碼,從入門到放棄
賬號密碼幾乎是伴隨著早期互聯網而起,最典型的應用就是郵箱,但對中國 90 年後生人來說,可能更多是在 QQ 上記住了第壹個賬戶和密碼。而即便是在 QQ 興起的新千年初,隨著大量網站和軟件的湧現,互聯網用戶注冊了壹個又壹個賬戶,大部分人事實上只能記住少數的用戶名和密碼,很多時候都是重復使用同樣的密碼,或是用上「手寫密碼」這種笨方法。
但到後來,網絡安全的攻防戰越發激烈,再加之軟件應用的大爆發也帶來了大量的賬號,於是也就有了 LastPass 等密碼管理器應運而生。通過記住壹個密碼管理「所有賬戶的不同密碼」,密碼管理器在壹定程度上確實解決了安全和便利的矛盾。
不過風險實際在轉移——壹旦密碼管理器的密碼泄露,所有賬戶都將全數暴露。LastPass 作為用戶規模最大的密碼管理器之壹,就多次遭遇了攻擊泄露事件,最近的壹次發生在去年 8 月。即便是公認更安全的 1Password 和 Bitwarden(開源),同樣也有可能發生數據泄露安全事故。
也是看到個人密碼在安全方面的風險,兩步驗證開始逐漸流行,比如手機短信和郵箱驗證碼或是基於時間的驗證器密鑰(安全性更高)。然而更安全的驗證器始終沒有流行開來,遠比短信和郵箱驗證碼來得小眾,使用成本上也確實更高,需要增加查看和復制壹次性密鑰的步驟,還要考慮時間。
通行密鑰與密碼的區別,圖 / 蘋果
同樣從身份證明這個角度出發,微軟、谷歌和蘋果主推的通行密鑰,則將以往需要儲存在服務器端的登錄信息,替換為了非對稱加密技術中的口令。當用戶為某個賬戶創建通行密鑰時,用戶設備上會生成壹對公私密鑰,賬戶服務器只會獲取並存儲「公鑰」,攻擊者無法從服務器上的數據推導出存儲在用戶設備上,完成身份驗證必需的「私鑰」。並且因為沒有「密碼」,通行密鑰也不存在「密碼強度」「重復使用」等問題。
就像蘋果認證體驗團隊的 Garrett Davidson 在去年 WWDC 上指出,有了通行密鑰,重復使用、撞庫、密碼泄露和網絡釣魚等問題,都不再可能。
而在使用上,通行密鑰與用戶可信賴的設備綁定,支持設備上的指紋識別、Face ID、Windows Hello 以及 PIN 認證等。當然,用戶也能將手機作為主要的驗證設備,或者說「鑰匙」來登錄所有賬戶,不需要輸入任何東西,壹次識別就能實現身份驗證,大大簡化了過去兩步驗證 + 密碼管理器 + 自動填寫密碼的形式。同時基於 FIDO 協議,用戶可以使用 iPhone 上的通行密鑰,在運行微軟 Windows 的設備上登錄谷歌 Chrome 瀏覽器。
憑借更安全的機制、更簡單的驗證步驟,幾乎可以預見,通行密鑰將完全取代密碼。換句話說,可信賴的本地設備(比如手機)將在真正意義上成為我們不同網絡身份的萬能鑰匙,打開的是壹個「無密碼」的世界。
[物價飛漲的時候 這樣省錢購物很爽]
| 分享: |
| 注: | 在此頁閱讀全文 |
推薦: