在保護(hù)用戶網(wǎng)絡(luò)安全的戰(zhàn)場上,密碼一直都站在最前沿��。但密碼技術(shù)本身�����,也有著易遭破解、難于記憶����、管理不便等不足和應(yīng)用挑戰(zhàn)。在今年的世界密碼日前夕�,Google公司正式發(fā)布了一項(xiàng)新服務(wù)—— 通行密鑰(Passkey),幫助用戶以更簡單���、更安全的方式登錄谷歌賬號��,以取代傳統(tǒng)的密碼口令登錄模式���。
谷歌身份與安全產(chǎn)品經(jīng)理克里斯蒂安·布蘭德表示:傳統(tǒng)的密碼驗(yàn)證模式已經(jīng)不再適應(yīng)當(dāng)前的數(shù)字化應(yīng)用發(fā)展水平,不僅用戶體驗(yàn)感差��,而且其技術(shù)本身也容易被惡意破解�����、釣魚詐騙以及違規(guī)使用�。而通過此次發(fā)布的Passkey技術(shù),則可以有效避免這些問題的出現(xiàn)���。
(資料圖片僅供參考)
傳統(tǒng)密碼口令已死?
全球有數(shù)十億用戶每天都在不同設(shè)備上使用密碼作為應(yīng)用系統(tǒng)的登錄口令���,雖然密碼的重要性不容小覷����,但糟糕的密碼管理和使用方法比比皆是�。據(jù)2022年《Verizon數(shù)據(jù)泄露事件報(bào)告》數(shù)據(jù)顯示,超過80%的數(shù)據(jù)泄露是由于被竊取或破解的賬戶密碼所引發(fā)����,但很多用戶并沒有意識(shí)到潛在的危險(xiǎn)。
在采用密碼技術(shù)之后��,很多企業(yè)和個(gè)人都認(rèn)為可以有效保護(hù)系統(tǒng)和敏感數(shù)據(jù)的訪問安全�。然而,傳統(tǒng)密碼登錄驗(yàn)證模式的缺陷也非常明顯:
首先��,密碼口令在本質(zhì)上就是不安全的���,它們可能被盜、被猜測或被暴力破解����,特別是隨著計(jì)算能力的提升��,傳統(tǒng)密碼技術(shù)被破解的難度在不斷降低;
其次��,但很多情況下���,用戶并不了解如何正確使用(或設(shè)置)密碼,弱密碼和密碼重用的情況普遍存在;
此外����,我們每個(gè)人都在使用十多個(gè)甚至近百個(gè)密碼,如何記住這么多的用戶名和密碼組合��,還要定期更改�,在管理上并不容易。盡管密碼管理器可以幫助用戶管理復(fù)雜密碼���,但也只是一個(gè)折中措施��,無法從根本上保證安全性�。
由于以上難以解決的不足和挑戰(zhàn)�,企業(yè)面臨的最大安全風(fēng)險(xiǎn)之一就是將不安全的密碼技術(shù)作為身份驗(yàn)證的主要方法。在此背景下��,包括微軟����、蘋果和Google在內(nèi)的領(lǐng)先科技廠商都在積極開發(fā)一種更先進(jìn)的無密碼登錄技術(shù)和標(biāo)準(zhǔn)�����,以實(shí)現(xiàn)更高的安全性和保護(hù)性����。而本次Passkey服務(wù)功能發(fā)布����,則是替代傳統(tǒng)密碼驗(yàn)證技術(shù)的一個(gè)重要標(biāo)志。
Passkey其實(shí)并不是一種新技術(shù)�,而是密碼學(xué)中“非對稱加密”在登錄認(rèn)證中的一種創(chuàng)新應(yīng)用。Passkey可以被理解為是“生物密碼”技術(shù) 和 “授權(quán)登錄” 技術(shù)的結(jié)合�����。用戶可以在Android 手機(jī)上創(chuàng)建一個(gè)基于公鑰加密的密鑰憑據(jù)�����,并需要對該憑據(jù)進(jìn)行生物特征識(shí)別����,比如 “指紋” 或者 “面部識(shí)別” 等。與傳統(tǒng)密碼相比��,Passkey可以給用戶帶來更好的使用體驗(yàn)��,而且能夠更好地應(yīng)對憑據(jù)盜竊�����、網(wǎng)絡(luò)釣魚和社會(huì)工程欺詐等攻擊�。
通行密鑰推廣應(yīng)用的挑戰(zhàn)
據(jù)布蘭德介紹,Google計(jì)劃在未來幾個(gè)月重點(diǎn)推廣Passkey��,并敦促用戶將傳統(tǒng)的密碼登錄方式轉(zhuǎn)換為Passkey���。盡管我們非常期待以Passkey為代表的無密碼技術(shù)帶來易用性���、安全性和廣泛性等多維度的變革,但是要在更多企業(yè)組織中推廣應(yīng)用類似Passkey技術(shù)可能并不容易����。
研究人員發(fā)現(xiàn),阻礙無密碼登錄技術(shù)應(yīng)用的關(guān)鍵因素并不是技術(shù)本身的缺陷或限制�����,而是由于很多企業(yè)中身份和驗(yàn)證管控的現(xiàn)狀。很多企業(yè)中�,身份管理和身份驗(yàn)證仍然是相對獨(dú)立的,而很多廣泛使用的應(yīng)用程序在設(shè)計(jì)開發(fā)時(shí)����,并沒有合理考慮如何支持通行密鑰等無密碼登錄驗(yàn)證新模式。盡管Passkey是一種解決身份安全驗(yàn)證和用戶體驗(yàn)的有效辦法��。但是只有消除身份管理和身份驗(yàn)證之間的隔斷�����,該技術(shù)才有希望真正在更多企業(yè)中落地應(yīng)用��。
此外�,通行密鑰要真正取代傳統(tǒng)的密碼驗(yàn)證方法,還必須能夠廣泛適配企業(yè)復(fù)雜的數(shù)字化環(huán)境�����,包括能夠兼容各種網(wǎng)站應(yīng)用�����、智能手機(jī)和桌面應(yīng)用程序,同時(shí)還要支持?jǐn)?shù)量眾多的操作系統(tǒng)版本和環(huán)境�。這對服務(wù)提供商將是一個(gè)棘手問題,因?yàn)檫@意味著必須在所有這些環(huán)境中安全���、穩(wěn)定、便捷地共享使用密鑰��,要實(shí)現(xiàn)這種互操作性并不容易���。
同時(shí)�����,面向企業(yè)級用戶和面向消費(fèi)者的通行密鑰解決方案在設(shè)計(jì)和實(shí)施上也會(huì)存在巨大差異�����。消費(fèi)級產(chǎn)品主要需求是管理數(shù)百萬個(gè)通行密鑰����,需要彈性擴(kuò)展能力以支持這種巨大的工作負(fù)載�。而企業(yè)組織更希望讓所有員工能夠更安全地在各種設(shè)備、瀏覽器和網(wǎng)站之間實(shí)現(xiàn)互操作性����,因此需要將密鑰與使用者的身份進(jìn)行強(qiáng)驗(yàn)證和綁定����。
誠然��,無密碼技術(shù)應(yīng)用的時(shí)代已到來��。但是要構(gòu)建企業(yè)級通行密鑰解決方案還需要研究人員繼續(xù)努力��。也許到了2024年的世界密碼日�����,我們就可以看到傳統(tǒng)密碼驗(yàn)證技術(shù)的真正消亡�����。
