您的位置: 首頁 >互聯(lián)網(wǎng) >

扔掉你的密碼提高你的安全性

2020-03-30 09:00:33 編輯: 來源:
導(dǎo)讀 他們很難記住,黑客利用他們的弱點(diǎn),修復(fù)往往帶來他們自己的問題。 Dashlane、LastPass、1Password和其他密碼管理器為您擁有的每個(gè)帳戶生成強(qiáng)大和唯一的密碼,但軟件是復(fù)雜的。 來自谷歌、Face book和蘋果的服務(wù)允許你在其他網(wǎng)站上使用密碼為他們的服務(wù),但你必須在網(wǎng)上給他們更多的權(quán)力。 雙因素認(rèn)證,它需要第二個(gè)密碼發(fā)送短信或從一個(gè)特殊的應(yīng)用程序檢索,每次登錄,大大提高了安全性,但

他們很難記住,黑客利用他們的弱點(diǎn),修復(fù)往往帶來他們自己的問題。 Dashlane、LastPass、1Password和其他密碼管理器為您擁有的每個(gè)帳戶生成強(qiáng)大和唯一的密碼,但軟件是復(fù)雜的。 來自谷歌、Face book和蘋果的服務(wù)允許你在其他網(wǎng)站上使用密碼為他們的服務(wù),但你必須在網(wǎng)上給他們更多的權(quán)力。 雙因素認(rèn)證,它需要第二個(gè)密碼發(fā)送短信或從一個(gè)特殊的應(yīng)用程序檢索,每次登錄,大大提高了安全性,但仍然可以被擊敗。

然而,一個(gè)大的改變可能完全消除密碼。 這項(xiàng)名為FIDO的技術(shù),將手機(jī)、人臉和指紋識(shí)別以及新的硬件安全密鑰結(jié)合起來,對(duì)登錄過程進(jìn)行了檢查。 如果它兌現(xiàn)承諾,國際人權(quán)聯(lián)合會(huì)將制作類似“123456”的密碼,這是過去時(shí)代的遺物。

“密碼是你知道的。 設(shè)備是你擁有的東西。 “生物識(shí)別技術(shù)是你的強(qiáng)項(xiàng),”Secure Auth的首席安全架構(gòu)師斯蒂芬?考克斯(Stephen Cox)說。 “我們要轉(zhuǎn)移到你的東西和你的東西上。”

本周,CNET正在研究將幫助我們擺脫密碼問題的更改。 這樣的改變是一個(gè)巨大的努力,將影響你每次檢查電子郵件,轉(zhuǎn)賬或登錄到你的雇主的網(wǎng)絡(luò)。 我們將研究免除密碼的認(rèn)證方法、雙因素認(rèn)證的缺點(diǎn)以及如何更有效地使用密碼管理器。 我們還將提供一些更新的密碼選擇建議,因?yàn)楦钊氲拿艽a改進(jìn)將需要多年才能到達(dá)。

閱讀更多:2020年最佳密碼管理人員

至少從20世紀(jì)60年代以來,電腦密碼一直令人擔(dān)憂。 麻省理工學(xué)院的研究人員Allan Scherr偽造了其他研究人員的密碼,這樣他就可以用他們的賬戶繼續(xù)他自己的項(xiàng)目“盜機(jī)器時(shí)間”。 上世紀(jì)80年代,加州大學(xué)伯克利分校天體物理學(xué)家克利福德·斯托爾(Clifford Stohl)跟蹤了一名德國黑客,政府和事計(jì)算機(jī)都不安全,因?yàn)楣芾韱T沒有更改默認(rèn)密碼。

呆在知情的地方。 每個(gè)工作日從CNET新聞獲得最新的技術(shù)故事。

密碼的性質(zhì)促使我們懶惰。 長的,復(fù)雜的密碼,那些最安全的,是我們最難創(chuàng)建,記住和鍵入。 我們中的許多人默認(rèn)回收它們。

這是一個(gè)巨大的問題,因?yàn)楹诳鸵呀?jīng)擁有我們的許多密碼。 我已經(jīng)被刪除的服務(wù)包括5.55億個(gè)被數(shù)據(jù)泄露的密碼。 黑客通過“憑證填充”來自動(dòng)攻擊,嘗試一長串被盜的用戶名和密碼,以找到有用的。

快速身份在線,更著名的FIDO,解決了這些問題。 它規(guī)范了使用安全密鑰等硬件設(shè)備進(jìn)行身份驗(yàn)證。 Yubico、Google、Microsoft、Pay Pal和Nok Nok實(shí)驗(yàn)室等正在開發(fā)FIDO。

安全鑰匙是房屋鑰匙的數(shù)字等價(jià)物。 您將它們插入U(xiǎn)SB或閃電端口,允許單個(gè)數(shù)字安全密鑰與許多網(wǎng)站和應(yīng)用程序安全地工作。 該密鑰可以與蘋果的Face ID或Windows Hello等生物認(rèn)證相匹配。 有些鑰匙可以無線使用。

FIDO還允許網(wǎng)站和服務(wù)完全替換密碼,這種改變可能使您的登錄生活更容易,即使它使黑客攻擊更加困難。

粉絲們有足夠的信心對(duì)它的傳播做出大膽的預(yù)測。 FIDO聯(lián)盟(FIDO Alliance)執(zhí)行董事安德魯??;鶃啝?Andrew Shikiar)表示:“在未來五年內(nèi),每個(gè)主要的消費(fèi)者互聯(lián)網(wǎng)服務(wù)都將有一個(gè)無密碼的選擇。 “其中大部分將使用國際人權(quán)聯(lián)合會(huì)。

硬件安全密鑰為密碼增加了新的安全性,并可以完全替換它們。

因?yàn)樗贿m用于合法的網(wǎng)站,F(xiàn)IDO停止了網(wǎng)絡(luò)釣魚,這是一種安全攻擊,黑客使用欺詐的電子郵件和偽造的網(wǎng)站來欺騙你放棄你的登錄信息。 FIDO還減輕了公司對(duì)災(zāi)難性數(shù)據(jù)泄露的擔(dān)憂,特別是對(duì)敏感的客戶信息,如帳戶憑據(jù)。 被盜密碼不足以讓黑客使用登錄,如果FIDO登錄,公司可能不需要密碼開始。

這是一種基于FIDO的登錄方式,沒有密碼。 您將使用筆記本電腦訪問網(wǎng)站登錄頁面,輸入您的用戶名,插入您的安全密鑰,點(diǎn)擊一個(gè)按鈕,然后使用筆記本電腦的生物認(rèn)證,如蘋果的觸摸ID或WindowsHello。

方便地,你也可以使用你的手機(jī)作為安全鑰匙。 輸入您的用戶名,在您的手機(jī)上獲得提示,解鎖它,然后批準(zhǔn)自己與其生物認(rèn)證系統(tǒng)。 如果你在使用你的筆記本電腦,手機(jī)通過藍(lán)牙通訊。

FIDO支持多因素認(rèn)證提供的保護(hù),這要求您至少通過兩種方式證明登錄憑據(jù)。

你第一次遇到FIDO可能和雙因素認(rèn)證沒什么區(qū)別。 您將首先鍵入常規(guī)密碼,然后插入或無線連接FIDO硬件安全密鑰。

該過程仍然使用密碼,但它比單獨(dú)的密碼或由短信發(fā)送或從谷歌身份驗(yàn)證器等身份驗(yàn)證器檢索的代碼支持的密碼更安全。 這種方法-密碼加安全密鑰-是你今天如何在谷歌、Dropbox、Face book、Twitter和微軟服務(wù)上使用FIDO,如Outlook.com和最終Windows。

認(rèn)證服務(wù)公司Okta首席產(chǎn)品官DiyaJolly說:“硬件安全密鑰非常安全。 這就是為什么國會(huì)運(yùn)動(dòng),加拿大政府的計(jì)算服務(wù)部門和所有谷歌員工使用它們。

今天的消費(fèi)服務(wù)通常要求您只有在第一次登錄新的PC或電話時(shí),或者當(dāng)您正在采取特別敏感的行動(dòng),如從您的銀行帳戶轉(zhuǎn)移資金或更改您的密碼時(shí)才插入密鑰。 當(dāng)然,如果你在需要時(shí)沒有現(xiàn)成的安全密鑰,那么安全密鑰可能會(huì)成為麻煩。

今天出售的安全鑰匙包括Yubico的Yubikeys和Google的Titan。 基本模型花費(fèi)$20,但如果你想要支持USB-C或閃電端口或無線通信,你將花費(fèi)$40英鎊。 像Ensurry的ThinC,eWBM的GoldengateG320和飛天的BioPass這樣的先進(jìn)模型已經(jīng)內(nèi)置了指紋閱讀器,Yubico也在開發(fā)這一功能。

尤比科是安全鑰匙的主要銷售商之一。 這個(gè)基本的Yubi鍵模型插入U(xiǎn)SB端口。 你必須觸摸按鈕來顯示你在使用它的時(shí)候真的在場。

你應(yīng)該至少買兩把鑰匙,以防你丟失、折斷或忘記你的主鑰匙。 使用大多數(shù)服務(wù),您可以注冊(cè)多個(gè)密鑰,因此您可以將一個(gè)密鑰留在家里或保險(xiǎn)箱中。

谷歌在2019年將FIDO關(guān)鍵技術(shù)直接構(gòu)建到Android中,并在1月份對(duì)其iPhone軟件進(jìn)行了同樣的操作。 這可以讓您登錄到您的筆記本電腦上的谷歌帳戶與提示出現(xiàn)在您的手機(jī),只要它是在藍(lán)牙范圍內(nèi)的筆記本電腦。 預(yù)計(jì)這種方法會(huì)擴(kuò)展到谷歌以外。

網(wǎng)站和瀏覽器獲得FIDO認(rèn)證的功能稱為WebAuthn。 FIDO內(nèi)置在Android中,所以應(yīng)用程序也可以使用它,蘋果剛剛加入了FIDO聯(lián)盟,這對(duì)FIDO在iPhone應(yīng)用程序中的支持是個(gè)好兆頭。

微軟也是主要的支持者。 它超越了谷歌,為Outlook、Office、Skype、XboxLive和其他在線服務(wù)啟用了無密碼登錄。 您需要一個(gè)與Windows Hello人臉識(shí)別技術(shù)或指紋ID相結(jié)合的硬件密鑰;一個(gè)與PIN代碼相結(jié)合的硬件密鑰;或者一個(gè)運(yùn)行微軟認(rèn)證應(yīng)用程序的電話。

FIDO使用了幾十年來一直在線保護(hù)信用卡號(hào)碼的公鑰密碼技術(shù)。 這種方法的一個(gè)很大優(yōu)點(diǎn)是,F(xiàn)IDO安全設(shè)備----要么是硬件安全密鑰,要么是一部手機(jī)----不能與偽造的網(wǎng)站一起工作,這是黑客在釣魚獲取密碼時(shí)設(shè)置的常見陷阱。 與人們不同的是,他們通常不會(huì)注意到一個(gè)精心設(shè)計(jì)的虛假網(wǎng)站,安全密鑰只在合法網(wǎng)站上注冊(cè)。

谷歌認(rèn)證工作負(fù)責(zé)人馬克·里舍(Mark Risher)在一篇博客文章中寫道:“使用安全密鑰,而不是需要驗(yàn)證網(wǎng)站的用戶,網(wǎng)站必須向密鑰證明自己?!?在谷歌將其數(shù)萬名員工轉(zhuǎn)移到安全密鑰后,成功的釣魚嘗試下降到零。

沒有密碼也意味著黑客竊取的敏感數(shù)據(jù)減少。 這是IT管理人員聽過的音樂。 Secure Auth‘s Cox說,有了FIDO,公司就不再擁有“被盜憑證的中央數(shù)據(jù)庫”。

壞消息來了。 到我們無密碼的未來是不容易的。 我們都習(xí)慣了密碼,我們或多或少對(duì)它們的工作方式感到舒服。 我們都有自己的技巧來整理它們。

設(shè)置安全密鑰比選擇密碼更困難。 這很復(fù)雜,因?yàn)椴煌木W(wǎng)站使用不同的程序注冊(cè)和使用安全密鑰。 例如,Twitter今天只允許您使用一個(gè)硬件安全密鑰,這意味著備份密鑰將無法工作。

12歲的Yubico公司的首席解決方案干事Jerrod Chong說:“注冊(cè)是一個(gè)可怕的問題,它負(fù)責(zé)制作安全鑰匙,是FIDO聯(lián)盟的重要參與者?!?不過,他預(yù)計(jì)入學(xué)率會(huì)有所提高。 (事實(shí)上,在我這么做的一年里,使用安全密鑰變得更加順暢了。)

把你擁有的賬戶數(shù)乘以你擁有的密鑰數(shù),你就會(huì)感覺到你面臨的密鑰管理麻煩。 硬件安全密鑰也可能被打破或被偷,藍(lán)牙密鑰可以耗盡電池。

大多數(shù)人都熟悉密碼。 他們已經(jīng)長大了。 福勒斯特安全分析師蔡斯·坎寧安說。 “從消費(fèi)者的角度來看,我們可能已經(jīng)有5到7年的時(shí)間不會(huì)把密碼當(dāng)成現(xiàn)實(shí)?!?/p>

在公司內(nèi)部,硬件安全鑰匙不會(huì)輕易出售。 他們花錢,員工失去或忘記他們,也許最重要的是,他們只是不同于人們習(xí)慣的。 赫克,大多數(shù)人甚至不啟用雙因素認(rèn)證,盡管這將大大提高他們的安全性。

“用戶名和密碼仍然是最普遍的選擇,”出售認(rèn)證服務(wù)的Auth0聯(lián)合創(chuàng)始人、CTO的Matias Woloski說。 “沒有人愿意對(duì)不提供這種選擇采取行動(dòng)。

然而,重要的是權(quán)衡安全密鑰的問題與那些我們已經(jīng)面臨的密碼。

硬件安全密鑰阻止了密碼啟用的大規(guī)模網(wǎng)絡(luò)罪。 重置被遺忘的密碼的機(jī)制很昂貴,而且可能被竊取賬戶的黑客利用。 讓我們面對(duì)現(xiàn)實(shí)吧,對(duì)于你使用的所有網(wǎng)站來說,記住強(qiáng)大而獨(dú)特的密碼是不可能的。

Okta的產(chǎn)品副總裁喬?戴蒙德(Joe Diamond)表示,F(xiàn)IDO驅(qū)動(dòng)的安全密鑰和手機(jī),再加上無密碼登錄,將從根本上改善薄弱的安全性。 “這顯然是未來?!?/p>


免責(zé)聲明:本文由用戶上傳,如有侵權(quán)請(qǐng)聯(lián)系刪除!

精彩推薦

圖文推薦

點(diǎn)擊排行

2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號(hào):閩ICP備19027007號(hào)-6

本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。