再见密码,再见

下一篇文章

第四季度利润不及预期,GoPro 股价大跌 10%

编者按本·迪克森(Ben Dickson)是一位软件工程师和自由作家。他的文章主要涵盖商业、技术和政治话题。

今年 1 月初,有线电视巨头时代华纳被黑客窃取了超过 32 万用户的邮件和密码信息,这起事件再一次说明了简单的密码认证方式正在变得越来越不可靠

但是这次时代华纳被黑还远远算不上是情况最恶劣的身份信息窃取事件。

事实上,这跟我们在去年看到的严重事件相比可以说是不值一提的:玩具制造商 VTech 的 500 万用户记录遭窃;联邦人事管理局泄露了 2100 万联邦政府职员的记录;医疗服务提供商 Anthem 也被窃取了 8000 万客户的记录

黑客们在窃取个人信息的时候似乎拥有无限种类的武器,比如暴力破解、字典式攻击、网络钓鱼、社会工程、中间人攻击、键盘记录器、通过恢复邮件重置密码,以及从数据库中批量窃取密码。

一旦黑客获得了我们的身份信息以后,他们确实有能力完全毁掉我们的生活——他们可以窃取我们的信息和钱财,将我们的隐私公布到网上,或者以我们的名义发表一些恶毒和淫秽的内容。

但是在密码保护方面,我们需要避开无穷无尽的陷阱,包括弱密码、共用密码、长期不变的密码、默认密码……而且尽管你有坚持采用所有正确的安全措施,但你还是无法控制所有东西,比如你的服务商会如何加密和保护储存在服务器上的个人信息。

这种密码困境并非现在才出现的,这个问题在过去几年也被人们反复讨论了很多次。然而,之前提出的解决方案通常都被证明是非常复杂和昂贵的,或者本身存在缺陷

在大多数情况下,我们仍然倾向于只使用简单密码来保护自己的网络账户。鉴于数据泄露和身份诈骗的事件不断增加,现在有许多科技公司都在竭力解决这个问题,有的公司专注于加强和改进目前的密码模式,有的公司则希望完全淘汰密码。下面是一些最新出现的趋势,它们有可能在不久的未来改变我们的身份认证习惯。

个人识别码和软件令牌

事实证明,传统的双重认证(two-factor authentication)方法通常都会带来糟糕的用户体验或者复杂的硬件问题,但是个人识别码(PIN)和软件令牌可以将密码输入的简便性和双重认证的安全性结合在一起。

一家叫做 MIRACL 的英国科技公司就是采用这种方法,它最新推出的 M-Pin 加密应用是一个双重认证协议,它会利用用户选择的四位 PIN 码和一个对应的软件令牌生成一个独一无二的密钥,后者会在服务器上运行 “零知识证明”(zero-knowledge proof)认证协议。

上面提到的软件令牌会被保存在用户的浏览器或移动设备上,而且只有用户本人知道对应的 PIN 码。M-Pin 不会在服务器端保存任何的用户密码,“这会让黑客暴库攻击成为过去。”MIRACL 的首席执行官布莱恩·斯佩克特(Brian Spector)说道。

这项技术还会将主密钥分别储存在两个 D-TA(Distributed Trust Authority,分布式可信权威)之上,一个是储存服务器应用的用户服务器,另外一个是 MIRACL 的中央 D-TA。这种方式可以进一步提升安全性,同时也会增加攻击者窃取信息的难度,因为他们需要攻破四道防线才能入侵某个账户。

MIRACL 会通过两种形式提供 M-Pin,一种是嵌入在网站中的 JavaScript 代码片段和代码库,另一种是移动版本,用户可以在一个移动应用中控制浏览器对自己账户的访问。

M-Pin 将有机会兑现提升身份认证简便性和安全性的承诺,因为它最近得到了权威身份验证服务商 Experian 的认可,后者将会利用这项技术为数百万英国市民提供高度安全的认证服务。这其实是一个由英国政府牵头的项目,它的目标是让驾驶执照更换和纳税申报等公共服务变得更为安全和简单。

NFC 双重认证

使用 USB 密钥实现的双重认证方式已经在桌面电脑上应用了一段时间,但是移动设备之前一直未能跟上这个趋势。现在这种情况已经得到改变,一家叫做 Yubico 的科技公司现在推出了一款实体设备,它可以通过近场通信(NFC)技术帮你登录到自己的网络账户。

这款取名为 “YubiKey NEO” 的设备适用于支持 NFC 功能的手机,用户在使用的时候需要把它放在手机的背部,然后按下它的按钮就可以开始登录认证。这个密钥每次被点击后都会为用户和当前服务生成一个专门的登录码。用户在使用 YubiKey 确认登录之后,相关账户会在一段时间之内保持已认证的状态(具体取决于服务本身),但是服务商检测到异常行为时会断开认证,这时用户就需要再次进行 YubiKey 的认证过程。

YubiKey NEO 能够支持跟 YubiKey 4 一样的协议(OTP、U2F、PIV、OpenPGP),也就是说这个设备可以插入桌面电脑的 USB 接口,作为普通的实体 USB 密钥来使用。YubiKey 已经得到了一些知名科技公司的采用,包括谷歌、Dropbox 和 GitHub

YubiKey 本身不会保存任何个人信息,而且它会连接到一个账户之上,也就是说掌握你个人信息的人都需要持有这个密钥才能登录你的账户。它唯一的不足是你又多了一个需要妥善保管的设备。

指纹认证服务

现在有越来越多的移动设备都配有指纹识别器,云计算的成本也变得越来越低,一家来自波多黎各的技术创业公司 Qondado 认为这是一个很好的机会,它希望通过自己的 KodeKey 平台帮助开发者将生物特征识别技术整合到他们的网页应用之上。

这个系统由移动应用和网页服务组成,它会通过生物特征将用户绑定到他们的手机号码上,然后让用户使用自己的手机号码和一个 PIN 码进行登录。这个认证平台可以通过 API 或插件场合到任何的客户端站点上(它现在已经推出了一个 WordPress 插件)。

用户在登录的时候需要在页面上输入自己的手机号码和对应的 PIN 码,然后 KodeKey 应用会提示用户扫描指纹。用户在通过手机指纹识别器的认证之后才能成功登录账户。这款应用目前已经推出 Android 和 iOS 的版本,不过它只能在带有指纹识别器的新款手机上使用。

这家公司希望为银行、信用卡公司、有线网络服务商、无线网络服务商和云端服务提供企业级的安全防护,并准备在以后为多种类型的平台开发插件。

移动认证

随着移动设备的大范围普及,用户实际上已经随身携带了一个用于储存和展示数字身份的个人工具。由于现在新的移动操作系统都能提供可信的执行环境,而且包括加密个人信息在内的敏感数据也会被保存在硬件安全元件中,这种方式的可行性得到了进一步的提升。

这个趋势目前主要由雅虎和谷歌这两家科技巨头引领。

谷歌的想法是将用户的手机看成是用户的身份,这种方法目前正在部分被选中的用户之间进行测试。谷歌会让你将自己的谷歌账户绑定到一台移动设备上,这样每当有人在浏览器登录这个邮箱的时候,谷歌都会向绑定的手机发送一条提示,用户可以在这条提示上选择接受或者拒绝此次登录。绑定设备还需要具备某种锁屏功能,这样才能确保账户登录许可是由用户本人给出的。这个过程无需输入密码,不过你也可以选择使用传统的密码登录方式。

这跟以前的移动双重认证相比有了很大的改进,因为以前的双重认证是有可能被黑客绕过的。这种方法的唯一不足是用户首先必须拥有一台移动设备,不过这在目前人人都有移动设备的情况下也不是什么问题。另外,如果设备出现丢失或被盗的情况,或者用户更换了新手机,你也可以选择撤销前一台设备的授权,并添加新设备的授权。

在谷歌宣布推出这项功能的几个月之前,雅虎也开发了 Yahoo Account Key,它的理念基本上跟谷歌的保持一致:它会为你建立邮箱账户和手机之间的联系,然后你就不需要使用密码,直接在推送通知上就能完成登录的确认。目前雅虎的这项技术只能用于雅虎邮箱,不过如果前景良好的话,它也有可能增加对其他服务的支持。

我们准备好淘汰密码了吗?

密码之所以能够一直作为最普遍的身份认证方式,仅仅是因为我们从计算机诞生以来就开始这么做。但是现在密码的维护和保护工作已经变得越来越困难,这点也许说明密码继续作为主要认证方式的日子已经不多了。

至于上文提到的哪一个趋势成为主流的认证方式,我们现在还无法确定。不过最终能够取代密码的方式肯定是足够简单、强力、低价和灵活的,这样才能说服数十亿用户改变他们最根深蒂固的一个计算机使用习惯,同时它的安全性也足以让黑客们敬而远之。

题图来自:Peshkova/Shutterstock

翻译:关嘉伟(@consideRay

Passwords May Soon Be Passé