苹果、谷歌和微软近日宣布,他们将很快支持一种完全避免使用密码的身份验证方法,用户只需解锁智能手机即可登录网站或在线服务。专家表示,这些改变将有助于抵御多种类型的网络钓鱼攻击,并减轻互联网用户的整体密码负担。但值得注意的是,对于大多数网站来说,可能还需要数年时间才能真正迎来无密码时代。
这些科技巨头是行业主导密码革新工作的一部分,这些密码很容易被忽视,经常被恶意软件和网络钓鱼攻击窃取,或者在企业数据泄露后被曝光并被在线出售。
苹果、谷歌和微软是快速在线身份认证(FIDO)联盟和万维网联盟(W3C)制定的无密码登录标准的积极贡献者。过去十年,这些组织与数百家科技公司合作开发一种新的登录标准,该标准可兼容多个浏览器和操作系统。
据 FIDO 联盟介绍,用户将能够通过每天多次解锁设备的相同操作来登录网站——包括设备 PIN 码、指纹以及面部识别等生物特征。
该联盟在 5 月 5 日写道:“与密码和传统的多因素认证技术(例如通过短信发送的一次性密码)相比,这种新方法可以防止网络钓鱼攻击,使登录从根本上更加安全。”
谷歌安全认证主管兼 FIDO 联盟主席Sampath Srinivas表示,在新系统下,你的手机将存储一个名为“密码”的 FIDO 凭证,用于解锁你的在线帐户。
“密码使登录更加安全,因为它基于公钥加密,并且仅在你解锁手机时才会显示在您的在线帐户中,”Srinivas 写道。“要在你的电脑上登录网站,只需将手机放在附近,系统就会提示你解锁以进行访问。完成此操作后,将不再需要手机,只需解锁电脑即可登录。”
苹果、谷歌和微软已经支持这些无密码标准(例如“使用 Google 登录”),但用户需要在每个网站上登录才能使用无密码功能。在这个新系统下,用户将能够在许多设备上自动访问他们的密钥,无需重新注册每个帐户,可以用他们的移动设备登录附近设备上的应用或网站。
SANS 技术研究所研究主任Johannes Ullrich称该声明是“迄今为止解决身份验证挑战最有希望的尝试”。
“该标准最重要的部分是它不需要用户购买新设备,而是可以使用他们已经拥有并会使用的设备来用作身份验证。”Ullrich 说。
哥伦比亚大学计算机科学教授、早期互联网研究者和先驱Steve Bellovin 称,这种无密码尝试是身份验证领域的“巨大进步”,但他还表示,许多网站需要很长时间才能赶上这种变革。
Bellovin 等人表示,在这种新的无密码身份验证方案中,存在一个潜在的棘手场景,即当有人丢失或损坏移动设备时,他们无法追回 iCloud 密码时会是什么情况。
“我担心那些买不起额外设备,或者无法轻易更换损坏或被盗设备的人,”Bellovin 说,“我担心云帐户密码遗忘的恢复问题。”
谷歌表示,即使你的手机丢失了,“你的密钥也会从云备份安全地同步到新手机上,让你可以从旧设备停止的地方继续使用。”
苹果和微软也有云备份解决方案,用户可以使用这些平台从丢失的移动设备中恢复。但Bellovin表示,这在很大程度上取决于管理此类云系统的安全性。
“在未经授权的情况下将另一台设备的公钥添加到帐户中有多容易?” Bellovin想知道。“我认为他们的协议让这变得不可能,但其他人不同意我的看法。”
加州大学伯克利分校计算机科学系讲师Nicholas Weaver表示,对于“丢失手机和密码”的情况,网站仍然需要一些恢复机制,他称这是“一个很难解决的问题,已经是我们当前系统中最大的弱点之一”。
“如果你忘记密码,丢失了手机,并且可以找回它,这将成为攻击者的巨大目标。” Weaver在一封电子邮件中表示。“如果你忘记密码丢失手机而且不能找回,那么现在你已经丢失了用于登录的授权令牌。它必须是后者。苹果拥有支持它的基础设施(iCloud 钥匙串),但尚不清楚谷歌是否支持。”即便如此,他表示,整体 FIDO 方法一直是提高安全性和可用性的绝佳工具。
“这是向前迈出的非常好的一步,我很高兴看到这一点,”Weaver表示,“利用手机的强大身份验证功能(如果你有一个像样的密码)非常好。至少对于 iPhone 来说,即使手机受到攻击,你也可以让它变得安全牢固,因为它的Secure Enclave技术可以处理这个问题,而Secure Enclave不信任主机操作系统。”
科技巨头们表示,新的无密码功能将于明年在苹果、谷歌和微软平台上启用。但专家表示,小型网站可能需要几年时间才能采用该技术并完全放弃密码。
最近的研究表明,仍有很多人重复使用或回收密码(稍微修改相同的密码),当这些凭据最终暴露在数据泄露中时,将会带来帐户被入侵的风险。网络安全公司SpyCloud 在3 月的一份报告中发现,64% 的用户在多个帐户中重复使用同一密码,而且在之前的入侵中泄露的密码,有70% 仍在使用中。