扔掉你的密碼提高你的安全性

他們很難記住，黑客利用他們的弱點(diǎn)，修復(fù)往往帶來(lái)他們自己的問(wèn)題。 Dashlane、LastPass、1Password和其他密碼管理器為您擁有的每個(gè)帳戶生成強(qiáng)大和唯一的密碼，但軟件是復(fù)雜的。 來(lái)自谷歌、Face book和蘋(píng)果的服務(wù)允許你在其他網(wǎng)站上使用密碼為他們的服務(wù)，但你必須在網(wǎng)上給他們更多的權(quán)力。 雙因素認(rèn)證，它需要第二個(gè)密碼發(fā)送短信或從一個(gè)特殊的應(yīng)用程序檢索，每次登錄，大大提高了安全性，但仍然可以被擊敗。

然而，一個(gè)大的改變可能完全消除密碼。 這項(xiàng)名為FIDO的技術(shù)，將手機(jī)、人臉和指紋識(shí)別以及新的硬件安全密鑰結(jié)合起來(lái)，對(duì)登錄過(guò)程進(jìn)行了檢查。 如果它兌現(xiàn)承諾，國(guó)際人權(quán)聯(lián)合會(huì)將制作類似“123456”的密碼，這是過(guò)去時(shí)代的遺物。

“密碼是你知道的。 設(shè)備是你擁有的東西。 “生物識(shí)別技術(shù)是你的強(qiáng)項(xiàng)，”Secure Auth的首席安全架構(gòu)師斯蒂芬？考克斯(Stephen Cox)說(shuō)。 “我們要轉(zhuǎn)移到你的東西和你的東西上?！?/p>

本周，CNET正在研究將幫助我們擺脫密碼問(wèn)題的更改。 這樣的改變是一個(gè)巨大的努力，將影響你每次檢查電子郵件，轉(zhuǎn)賬或登錄到你的雇主的網(wǎng)絡(luò)。 我們將研究免除密碼的認(rèn)證方法、雙因素認(rèn)證的缺點(diǎn)以及如何更有效地使用密碼管理器。 我們還將提供一些更新的密碼選擇建議，因?yàn)楦钊氲拿艽a改進(jìn)將需要多年才能到達(dá)。

閱讀更多：2020年最佳密碼管理人員

至少?gòu)?0世紀(jì)60年代以來(lái)，電腦密碼一直令人擔(dān)憂。 麻省理工學(xué)院的研究人員Allan Scherr偽造了其他研究人員的密碼，這樣他就可以用他們的賬戶繼續(xù)他自己的項(xiàng)目“盜機(jī)器時(shí)間”。 上世紀(jì)80年代，加州大學(xué)伯克利分校天體物理學(xué)家克利福德·斯托爾(Clifford Stohl)跟蹤了一名德國(guó)黑客，政府和事計(jì)算機(jī)都不安全，因?yàn)楣芾韱T沒(méi)有更改默認(rèn)密碼。

呆在知情的地方。 每個(gè)工作日從CNET新聞獲得最新的技術(shù)故事。

密碼的性質(zhì)促使我們懶惰。 長(zhǎng)的，復(fù)雜的密碼，那些最安全的，是我們最難創(chuàng)建，記住和鍵入。 我們中的許多人默認(rèn)回收它們。

這是一個(gè)巨大的問(wèn)題，因?yàn)楹诳鸵呀?jīng)擁有我們的許多密碼。 我已經(jīng)被刪除的服務(wù)包括5.55億個(gè)被數(shù)據(jù)泄露的密碼。 黑客通過(guò)“憑證填充”來(lái)自動(dòng)攻擊，嘗試一長(zhǎng)串被盜的用戶名和密碼，以找到有用的。

快速身份在線，更著名的FIDO，解決了這些問(wèn)題。 它規(guī)范了使用安全密鑰等硬件設(shè)備進(jìn)行身份驗(yàn)證。 Yubico、Google、Microsoft、Pay Pal和Nok Nok實(shí)驗(yàn)室等正在開(kāi)發(fā)FIDO。

安全鑰匙是房屋鑰匙的數(shù)字等價(jià)物。 您將它們插入U(xiǎn)SB或閃電端口，允許單個(gè)數(shù)字安全密鑰與許多網(wǎng)站和應(yīng)用程序安全地工作。 該密鑰可以與蘋(píng)果的Face ID或Windows Hello等生物認(rèn)證相匹配。 有些鑰匙可以無(wú)線使用。

FIDO還允許網(wǎng)站和服務(wù)完全替換密碼，這種改變可能使您的登錄生活更容易，即使它使黑客攻擊更加困難。

粉絲們有足夠的信心對(duì)它的傳播做出大膽的預(yù)測(cè)。 FIDO聯(lián)盟(FIDO Alliance)執(zhí)行董事安德魯？?；鶃啝?Andrew Shikiar)表示：“在未來(lái)五年內(nèi)，每個(gè)主要的消費(fèi)者互聯(lián)網(wǎng)服務(wù)都將有一個(gè)無(wú)密碼的選擇。 “其中大部分將使用國(guó)際人權(quán)聯(lián)合會(huì)。

硬件安全密鑰為密碼增加了新的安全性，并可以完全替換它們。

因?yàn)樗贿m用于合法的網(wǎng)站，F(xiàn)IDO停止了網(wǎng)絡(luò)釣魚(yú)，這是一種安全攻擊，黑客使用欺詐的電子郵件和偽造的網(wǎng)站來(lái)欺騙你放棄你的登錄信息。 FIDO還減輕了公司對(duì)災(zāi)難性數(shù)據(jù)泄露的擔(dān)憂，特別是對(duì)敏感的客戶信息，如帳戶憑據(jù)。 被盜密碼不足以讓黑客使用登錄，如果FIDO登錄，公司可能不需要密碼開(kāi)始。

這是一種基于FIDO的登錄方式，沒(méi)有密碼。 您將使用筆記本電腦訪問(wèn)網(wǎng)站登錄頁(yè)面，輸入您的用戶名，插入您的安全密鑰，點(diǎn)擊一個(gè)按鈕，然后使用筆記本電腦的生物認(rèn)證，如蘋(píng)果的觸摸ID或WindowsHello。

方便地，你也可以使用你的手機(jī)作為安全鑰匙。 輸入您的用戶名，在您的手機(jī)上獲得提示，解鎖它，然后批準(zhǔn)自己與其生物認(rèn)證系統(tǒng)。 如果你在使用你的筆記本電腦，手機(jī)通過(guò)藍(lán)牙通訊。

FIDO支持多因素認(rèn)證提供的保護(hù)，這要求您至少通過(guò)兩種方式證明登錄憑據(jù)。

你第一次遇到FIDO可能和雙因素認(rèn)證沒(méi)什么區(qū)別。 您將首先鍵入常規(guī)密碼，然后插入或無(wú)線連接FIDO硬件安全密鑰。

該過(guò)程仍然使用密碼，但它比單獨(dú)的密碼或由短信發(fā)送或從谷歌身份驗(yàn)證器等身份驗(yàn)證器檢索的代碼支持的密碼更安全。 這種方法-密碼加安全密鑰-是你今天如何在谷歌、Dropbox、Face book、Twitter和微軟服務(wù)上使用FIDO，如Outlook.com和最終Windows。

認(rèn)證服務(wù)公司Okta首席產(chǎn)品官DiyaJolly說(shuō)：“硬件安全密鑰非常安全。 這就是為什么國(guó)會(huì)運(yùn)動(dòng)，加拿大政府的計(jì)算服務(wù)部門(mén)和所有谷歌員工使用它們。

今天的消費(fèi)服務(wù)通常要求您只有在第一次登錄新的PC或電話時(shí)，或者當(dāng)您正在采取特別敏感的行動(dòng)，如從您的銀行帳戶轉(zhuǎn)移資金或更改您的密碼時(shí)才插入密鑰。 當(dāng)然，如果你在需要時(shí)沒(méi)有現(xiàn)成的安全密鑰，那么安全密鑰可能會(huì)成為麻煩。

今天出售的安全鑰匙包括Yubico的Yubikeys和Google的Titan。 基本模型花費(fèi)$20，但如果你想要支持USB-C或閃電端口或無(wú)線通信，你將花費(fèi)$40英鎊。 像Ensurry的ThinC，eWBM的GoldengateG320和飛天的BioPass這樣的先進(jìn)模型已經(jīng)內(nèi)置了指紋閱讀器，Yubico也在開(kāi)發(fā)這一功能。

尤比科是安全鑰匙的主要銷售商之一。 這個(gè)基本的Yubi鍵模型插入U(xiǎn)SB端口。 你必須觸摸按鈕來(lái)顯示你在使用它的時(shí)候真的在場(chǎng)。

你應(yīng)該至少買兩把鑰匙，以防你丟失、折斷或忘記你的主鑰匙。 使用大多數(shù)服務(wù)，您可以注冊(cè)多個(gè)密鑰，因此您可以將一個(gè)密鑰留在家里或保險(xiǎn)箱中。

谷歌在2019年將FIDO關(guān)鍵技術(shù)直接構(gòu)建到Android中，并在1月份對(duì)其iPhone軟件進(jìn)行了同樣的操作。 這可以讓您登錄到您的筆記本電腦上的谷歌帳戶與提示出現(xiàn)在您的手機(jī)，只要它是在藍(lán)牙范圍內(nèi)的筆記本電腦。 預(yù)計(jì)這種方法會(huì)擴(kuò)展到谷歌以外。

網(wǎng)站和瀏覽器獲得FIDO認(rèn)證的功能稱為WebAuthn。 FIDO內(nèi)置在Android中，所以應(yīng)用程序也可以使用它，蘋(píng)果剛剛加入了FIDO聯(lián)盟，這對(duì)FIDO在iPhone應(yīng)用程序中的支持是個(gè)好兆頭。

微軟也是主要的支持者。 它超越了谷歌，為Outlook、Office、Skype、XboxLive和其他在線服務(wù)啟用了無(wú)密碼登錄。 您需要一個(gè)與Windows Hello人臉識(shí)別技術(shù)或指紋ID相結(jié)合的硬件密鑰；一個(gè)與PIN代碼相結(jié)合的硬件密鑰；或者一個(gè)運(yùn)行微軟認(rèn)證應(yīng)用程序的電話。

FIDO使用了幾十年來(lái)一直在線保護(hù)信用卡號(hào)碼的公鑰密碼技術(shù)。 這種方法的一個(gè)很大優(yōu)點(diǎn)是，F(xiàn)IDO安全設(shè)備----要么是硬件安全密鑰，要么是一部手機(jī)----不能與偽造的網(wǎng)站一起工作，這是黑客在釣魚(yú)獲取密碼時(shí)設(shè)置的常見(jiàn)陷阱。 與人們不同的是，他們通常不會(huì)注意到一個(gè)精心設(shè)計(jì)的虛假網(wǎng)站，安全密鑰只在合法網(wǎng)站上注冊(cè)。

谷歌認(rèn)證工作負(fù)責(zé)人馬克·里舍(Mark Risher)在一篇博客文章中寫(xiě)道：“使用安全密鑰，而不是需要驗(yàn)證網(wǎng)站的用戶，網(wǎng)站必須向密鑰證明自己。” 在谷歌將其數(shù)萬(wàn)名員工轉(zhuǎn)移到安全密鑰后，成功的釣魚(yú)嘗試下降到零。

沒(méi)有密碼也意味著黑客竊取的敏感數(shù)據(jù)減少。 這是IT管理人員聽(tīng)過(guò)的音樂(lè)。 Secure Auth‘s Cox說(shuō)，有了FIDO，公司就不再擁有“被盜憑證的中央數(shù)據(jù)庫(kù)”。

壞消息來(lái)了。 到我們無(wú)密碼的未來(lái)是不容易的。 我們都習(xí)慣了密碼，我們或多或少對(duì)它們的工作方式感到舒服。 我們都有自己的技巧來(lái)整理它們。

設(shè)置安全密鑰比選擇密碼更困難。 這很復(fù)雜，因?yàn)椴煌木W(wǎng)站使用不同的程序注冊(cè)和使用安全密鑰。 例如，Twitter今天只允許您使用一個(gè)硬件安全密鑰，這意味著備份密鑰將無(wú)法工作。

12歲的Yubico公司的首席解決方案干事Jerrod Chong說(shuō)：“注冊(cè)是一個(gè)可怕的問(wèn)題，它負(fù)責(zé)制作安全鑰匙，是FIDO聯(lián)盟的重要參與者?！?不過(guò)，他預(yù)計(jì)入學(xué)率會(huì)有所提高。 （事實(shí)上，在我這么做的一年里，使用安全密鑰變得更加順暢了。）

把你擁有的賬戶數(shù)乘以你擁有的密鑰數(shù)，你就會(huì)感覺(jué)到你面臨的密鑰管理麻煩。 硬件安全密鑰也可能被打破或被偷，藍(lán)牙密鑰可以耗盡電池。

大多數(shù)人都熟悉密碼。 他們已經(jīng)長(zhǎng)大了。 福勒斯特安全分析師蔡斯·坎寧安說(shuō)。 “從消費(fèi)者的角度來(lái)看，我們可能已經(jīng)有5到7年的時(shí)間不會(huì)把密碼當(dāng)成現(xiàn)實(shí)。”

在公司內(nèi)部，硬件安全鑰匙不會(huì)輕易出售。 他們花錢，員工失去或忘記他們，也許最重要的是，他們只是不同于人們習(xí)慣的。 赫克，大多數(shù)人甚至不啟用雙因素認(rèn)證，盡管這將大大提高他們的安全性。

“用戶名和密碼仍然是最普遍的選擇，”出售認(rèn)證服務(wù)的Auth0聯(lián)合創(chuàng)始人、CTO的Matias Woloski說(shuō)。 “沒(méi)有人愿意對(duì)不提供這種選擇采取行動(dòng)。

然而，重要的是權(quán)衡安全密鑰的問(wèn)題與那些我們已經(jīng)面臨的密碼。

硬件安全密鑰阻止了密碼啟用的大規(guī)模網(wǎng)絡(luò)罪。 重置被遺忘的密碼的機(jī)制很昂貴，而且可能被竊取賬戶的黑客利用。 讓我們面對(duì)現(xiàn)實(shí)吧，對(duì)于你使用的所有網(wǎng)站來(lái)說(shuō)，記住強(qiáng)大而獨(dú)特的密碼是不可能的。

Okta的產(chǎn)品副總裁喬？戴蒙德(Joe Diamond)表示，F(xiàn)IDO驅(qū)動(dòng)的安全密鑰和手機(jī)，再加上無(wú)密碼登錄，將從根本上改善薄弱的安全性。 “這顯然是未來(lái)?！?/p>