字符密码风险加大:新型认证技术崛起

安全 数据安全
美国《纽约时报》网络版今天刊登题为《触摸、语音和心脏,都能让机器认识你》(Machines Made to Know You, by Touch, Voice, Even by Heart)的评论文章称,虽然用户名和密码这种传统认证模式已经延续多年,但随着高科技设备和服务种类的逐渐增多,这种模式似乎已经难以适应时代的发展。

美国《纽约时报》网络版今天刊登题为《触摸、语音和心脏,都能让机器认识你》(Machines Made to Know You, by Touch, Voice, Even by Heart)的评论文章称,虽然用户名和密码这种传统认证模式已经延续多年,但随着高科技设备和服务种类的逐渐增多,这种模式似乎已经难以适应时代的发展。于是,各种各样的新型身份识别技术便脱颖而出。

 

以下为文章主要内容:

新型技术

机器怎么认证人类的身份?虹膜、脉搏、指纹、声音,都可以帮上忙。

从互联网发展之初,身份认证便是一大难题。但现在,随着人们对传统的用户名和密码系统的安全风险越发担忧,很多高科技候选方案逐渐涌现,有些甚至直接来自科幻小说。

苹果公司周二推出了两款新iPhone,其中的iPhone 5S***配备了指纹传感器,可以不必输入密码,直接利用指纹打开手机和购买产品。这项新功能是目前正在开发的一系列认证工具之一,当然,并不仅仅针对手机。

与指纹传感器一样,其中部分功能需要使用人身上的一些不可变的“编码”,还有一些则会把手机变成认证设备。

在众多生物特征识别工具中,***颖的是由多伦多大学的密码学家开发的新型腕带,它内置的电压计可以读取脉搏。

“你只要戴上它,它就能认出你。它可以安全地将你的身份发送给周围的一切。”该产品的发明人之一卡尔·马丁(Karl Martin)说。

安全性是这款名叫Nymi的腕带***的卖点。虽然心脏可能出问题,但马丁却承诺,脉搏不会有问题。

创业公司

这些新技术的诞生正值安全和隐私担忧日益高涨之际,主要原因是传统的在线身份认证模式风险越来越大。很多热门网站的用户名和密码纷纷被窃,上月有报道称,就连长达55个字符的密码都可以被破解。

旧金山的Clef公司开发了一款移动应用,可以直接向桌面电脑发送一个密钥。然后,你试图进入的网站会根据手机识别出你,而不必单独输入密码。

拉斯维加斯创业公司LaunchKey目前仍处于测试阶段,他们也希望通过手机来认证。你需要注册LaunchKey网站,然后将自己的账号与特定的手机绑定。之后,当你想要登录网站或移动应用时,只要对方兼容LaunchKey的服务,便会向你的手机发送一条提醒。通过一款应用,只需要将手指滑向屏幕上的一个图标,便可完成认证授权。

位于加州红木城的OneID公司也提供了一种可以用于众多网站和设备的通用登录服务。在演示视频中,OneID工程师吉姆·芬顿(Jimi Fenton)证明了如何利用OneID打开自己家的车库门。

芬顿采访中表示,很多新型上网设备的软肋就是缺乏安全的访问方式。

“如果你把所有东西都连上网,就需要有各种好办法来控制各种访问权限,不仅要具备安全性,还要足够便利。”他说,“用户名和密码并不是适合所有设备的好办法。”

行业联盟

指纹传感器等生物特征识别工具已经应用在笔记本等设备上,但却不能确保每次都正常运行。苹果公司的***指纹传感器效果如何,以及用户将怎样利用这种工具,都将非常值得关注。

与此同时,指纹传感器也可能导致安全问题。当苹果公司周二宣布这项功能时,引发了众多质疑和担忧。不过,该公司表示,只会把用户的指纹信息存储在手机上,不会发送到网络服务器,也不会向应用开发者开放。

但还有一个问题:如果不能被各大网站广泛采用,Nymi、OneID和这一领域的其他创业公司都很难吸引用户。

加州大学伯克利分校正在开发一种更有吸引力的方案,可以利用简单而廉价的耳机读取用户的脑电波,借此实现认证,从而省去了输入密码的繁琐程序。

技术人员表示,仅靠一种方法不太可能改变认证问题。网站、汽车或银行账号可能都要使用不同的工具。

一家名为Fido Alliance的行业联盟,目前正在与多家软硬件公司合作开发一整套密码候选方案的标准,以便规范行业发展。这套标准可能会在今年年底发布。Fido Alliance的成员企业正在测试产品,例如指纹识别器以及能够识别面部和声音的软件。有朝一日,用户可能只需要跟电脑说一句话即可登录电子商务网站,或者瞥一眼PayPal移动应用即可完成网上购物。

通用登录

Facebook或许是当今最成功的一站式身份验证服务。目前已经有数以百万的网站与Facebook账号打通,这也可以加强Facebook对用户的了解,从而针对用户发布更有针对性的广告。但风险也显而易见,一旦有不法分子窃取了你的Facebook账号,便可以在整个互联网上假冒你的身份。

Mozilla也在大力推广自家的Persona服务。Mozilla首先通过你的电子邮件服务提供商确认该账号的确属于你。之后,要使用支持Persona登录服务的网站时,只需要借助原始的验证邮件即可登录,不必再输入密码。

Mozilla的身份认证产品目前只与为数不多的网站打通,该公司发言人号称达到“数千个”,但却远低于Facebook的数百万个。

Mozilla工程副总裁乔纳森·南丁格尔(Jonathan Nightingale)表示,我们周围涌现的各种新型上网设备加剧了密码替代方案的紧迫性。“为周围的一切都赋予智能是一个很好的想法,但它们未必都会配有屏幕、键盘和密码管理器。”他说,“不能只是依赖传统的字符密码。”(鼎宏)

责任编辑:蓝雨泪 来源: 新浪科技
相关推荐

2014-11-20 15:51:18

2023-08-08 06:57:37

数字化转型运营

2020-09-01 07:00:00

密码管理器

2010-10-19 16:20:40

2013-07-27 20:53:52

2016-10-10 20:19:13

无线传输无线技术

2021-11-16 10:12:03

无秘密技术密码网络安全

2012-10-09 09:55:53

桌面虚拟化

2023-07-04 14:53:16

2013-06-06 14:48:07

2013-09-04 13:51:02

2023-05-17 16:37:29

2016-10-12 16:16:48

存储技术私有云私有云性能

2021-04-02 09:43:10

Linux监控技术Linux系统

2017-01-17 15:47:18

2009-12-28 10:36:03

华为光纤接入网

2013-04-03 10:22:27

IBM芯片技术

2015-12-16 11:48:42

京东大数据

2011-04-11 14:30:21

Cisco以太网光纤通道

2024-11-29 14:32:40

网络安全网络安全投资
点赞
收藏

51CTO技术栈公众号