真实存在的问题
MobileIron最近委托对200名高管和其他负责网络安全决策的人进行了一项调查,调查对象大多是雇员超过1000人的公司。接受调查的人表示,他们通过删除密码来将被入侵的风险降低一半。从更广泛的用户调查中还发现,近一半的支持请求与密码或多因素锁定有关。
90%的网络安全负责人表示,被盗的证书导致了未经授权的访问尝试,而高达86%的人表示,如果可能的话,他们会放弃密码的使用。
这些问题和态度,是在安全专家和IT专家多年来试图劝阻公司和个人不要把密码作为最重要的安全手段之后出现的。
FIDO (Fast ID Online)联盟成立于2013年,旨在消除密码作为最重要身份验证元素的模式。该组织的成员几乎包括所有主要的金融、电信、网络和软件公司,包括美国运通、亚马逊、谷歌、Facebook和微软。( 除了AT&T和苹果,几乎所有公司都参与其中。)
FIDO强调使用公钥,这是一种简洁的数学验证方式,它允许人们拥有一个秘密的“私有”密钥,同时分发一个成对的公钥,用于证明他们的身份,或者加密只有他们才能解密的消息。当使用一个支持FIDO的U2F(通用双因素)标准的网站时,用户首先注册并通过多种方式证明自己的身份,包括注册一个硬件令牌——来自于像yubikey这样的公司,该公司构建了一个防篡改的独特的公钥/私钥对。
在随后的访问中,使用U2F的访问者仍然将输入密码作为第一步,然后单击生成和传输签名消息的U2F硬件密钥。与大多数登录不同,验证也是双向的:用户和站点都透明地提交安全凭据,以证明其身份,这有助于防止钓鱼攻击。(Web安全证书的工作原理与此类似,但并不是专门为保护用户帐户而设计的。)
现在想象一下上面的场景,它完全不涉及密码。这就是该联盟的目标,一系列名为FIDO2的新标准使其离现实更近了一步。
通过FIDO2,该规范得到了扩展,不仅允许联盟早期需要的独立硬件密钥,还允许任何拥有一个经过加固的、独立的安全芯片的移动和桌面硬件,来处理加密和生物特征识别。这包括苹果的Secure Enclave,自2013年以来,每一款新iPhone都有这个Secure Enclave;现代Android手机中的各种芯片都遵循类似的原则;以及在许多台式机和笔记本电脑可以找到的可信平台模块(TPM)芯片。而这显然正在成为一个标准特征。
FIDO2可以让应用程序和网站在超过10亿台设备上,甚至是20亿台设备上,获得类似苹果支付的登录体验,而不需要用户额外的输入各种密码。
去年,微软为其账户采用了几种不同的无密码登录选项,其中一些选项依赖于FIDO2。今年2月,谷歌宣布,任何运行version 7及以后版本的Android设备都符合FIDO2标准,为大量用户带来了无密码登录服务。
目前,苹果似乎是任然是坚持不改变的一方,尽管它允许第三方应用程序(但不允许网站)在注册后使用Touch ID和Face ID进行身份验证。如果该公司将其列为优先事项,这可能是支持FIDO2基于web的登录标准跨出的一小步。
现在正是时候
如果十年前我告诉你,你应该扔掉你的密码,你一定会认为我疯了,因为到那时为止的一切都表明,我们需要更好、更强大、更长的密码,来对抗似乎每天都在出现的入侵。
但10年的账户泄露事件表明,许多大小公司在保护密码方面都做得很糟糕。它还表明,许多用户选择弱安全性的密码,尽管我们不应该责怪他们,因为弱密码是对糟糕设计的系统的最佳应对方案。
现在是废除密码的时候了,像MobileIron这样的公司也在为企业提供无密码服务,谷歌和微软也在为同样的消费者提供无密码服务,我们终于可以挥手告别那令人讨厌的密码安全体系了。
而未来的解密方式可能只需要一个简单的一瞥。正如MobileIron的Biddiscombe所说,“我只需要盯着我的设备,我的设备就知道是我,企业就会为我提供我所需要的各种服务。”