设置和记住各种各样的密码非常麻烦,而且不太安全。新技术将消除对它们的需求,而且很快就可以实现了。
如果我走到你面前,告诉你再也不用输入任何登录密码时,你可能会搂着我,表现得像1945年时代广场的二战胜利纪念日一样激动不已。密码就像是我们数字牡蛎里的砂砾,所有的摩擦都是用武断和过时的规则创建、记忆或管理它们,并且按照时间表修改它们,然后还得正确地输入它们,但遗憾的是,永远不会形成一颗珍珠。(通俗版:我们总是需要根据一些规则来创建和修改密码,并且还需要用各种方式来记住它们,并在需要输入它们的时候回忆起正确的密码,这着实是一件耗费心神,有时还会给你带来不小麻烦的事情。而实际上它的效果和安全性却还是不尽如人意。)
这就是为什么企业安全公司MobileIron升级了它的认证产品套件,允许IT经理不再使用密码,而是依靠移动设备进行所谓的“零登录”访问。该公司依靠现代硬件的安全特性和其他信号,使无密码登录和有密码登录一样安全。
目前,MobileIron处于无密码理念的前沿。但这一举措远没有听起来那么激进,其他公司也在研发相关技术,为用户APP和网站提供更好的安全保障,而我们只需少做输入密码这件事。如果密码确实即将被淘汰,那么它的淘汰将会和你想象的一样令人愉快。
上世纪60年代的技术成为本21世纪的挑战
密码几乎是碰巧才成为身份的认证信息的。据信,它的起源可以追溯到20世纪60年代,当时它被引入麻省理工学院的一个早期分时系统。当时,它提供了一种简单的方法,在世界上几乎没有计算机存在的情况下,将文件保存在一台机器上。
为一台计算机管理一个密码是非常简单的。但没有人会预测到人们最终会有这么多在线数据需要保护。用数十亿台设备乘以数十亿个账户,一段时间以后,密码的数量显然已经无法估量。
密码管理软件,如1Password和LastPass可以提供很大的帮助,但它仍然依赖于密码作为合法性的证明。第二因素认证(2FA)通常被认为是解决密码问题的一种方法,它确实阻止了完全依赖密码的账户劫持状况,但它更像是第二个密码,而不是完全摆脱密码的一种方法。而且2FA不提供对数据的不渗透防御,特别是当这些第二因素通过文本消息发送时。(2016年,NIST发布了一份关于最佳安全实践的白皮书草案,建议将删除短信作为第二个因素,但该草案在2017年发布时有所淡化,删除了这一建议。目前还不清楚这一变化的幕后黑手是谁。)
大多数人仍然不使用密码管理器,这导致许多人选择在组织或站点设置的任何规则下可以使用的安全性最弱的密码。这使得大多数密码在某种程度上高度容易被破解。由于许多企业依赖于大量服务来完成工作,一项允许弱安全性密码的服务(或存在漏洞的服务)可能会使许多其他链接服务变得同样脆弱。
要抛弃密码,就要依赖于身份和访问成对匹配。一旦你通过充分证明你是谁进行了注册,以及你拥有一个需要生物识别技术才能解锁的设备(指纹或面部扫描),密码就不会再有任何存在的意义了。
MobileIron希望真正依靠其名称中的“mobile”部分。该公司首席执行官Simon Biddiscombe表示:“在过去几年里,有一件事发生了巨大变化,那就是将手机作为员工执行任务的主要设备。”
通过这种“移动优先”或“移动始终可用”的方法,MobileIron可以改变身份验证因素的权重。在多因素安全系统中,这些因素通常被描述为你知道的东西、您拥有的东西和你的身份。你所知道的通常是密码,这是安全的基础。但是,如果安全系统可以基于你所拥有的东西(比如您的移动设备)和你的身份(生物特征参数)授予访问权限,那么你就不需要知道任何东西,也不需要记住密码。
最普遍的例子是移动支付系统,如Apple Pay和谷歌Pay,它允许你注册信用卡或借记卡。当你用这张卡付款时,系统会根据你拥有的东西(你的手机、手表或平板电脑)和你的身份(通过苹果的面部识别或Touch ID等技术进行的生物识别确认)对交易进行授权。Biddiscombe说:“Apple Pay是我最喜欢的一个例子,它是一个消费者应用程序,感觉非常像我们在企业市场所做的事情。”
MobileIron新推出的零密码选项的细节,将对其当前和未来的客户产生重要影响,这些客户将更少地因违规和密码管理而感到压力。但事实上它的影响要广泛得多。在公司层面上抛弃使用密码的颠覆性想法,会让我们深刻了解到,小型企业和消费者市场可能会如何从最令人讨厌的单一密码保护带来的困扰中奋力解脱出来。
密码太多
MobileIron的主要业务是身份验证,所以你可能会认为它会专注于密码,而不是试图摆脱密码。回到iPhone刚推出的时候,公司的创始人就意识到,高管们会购买苹果的手机,并且想要访问电子邮件,而IT部门会对这些他们没有审核过的新设备感到恼火,并对提供安全访问感到焦虑。
近年来,MobileIron已经转向了各种移动(和桌面)端安全性服务,以及跨内部网、云和托管服务的单点登录访问,单个公司的员工可能经常与这些服务进行交互。员工可能同时使用Office 365、Dropbox、Salesforce和企业电子邮件服务器,并且希望能够方便地访问所有这些工具,无论他们身在何处。
Biddiscombe还指出,移动员工的增长不只是企业软件系统传统上关注的白领员工。他们的人数还包括抄表员、包裹递送员、工厂工人、修剪树木的工人、接受租车退货的人,以及其他许多领域的员工。当这些员工通常在外地或在工厂里工作时,给他们设置密码并不能提高他们的工作效率。这损害了公司的整体效率。
在这种情况下,MobileIron听到了大量来自IT客户关于密码之痛的反馈。通过允许企业使用其内部登录来验证对第三方服务的访问,对多个帐户的单点登录(SSO)应该可以减轻一些痛苦。但是SSO仍然意味着需要在在很多地方签名和多次输入密码。