互联网密码的终结之前已经被宣布了很多次,但这一次,它可能比你想象的来得更快。它的替代或是“万能密钥”。
互联网安全中心(Center for internet security)首席技术官凯瑟琳?莫里亚蒂(Kathleen Moriarty)表示,密钥是未来基本互联网安全的方式,因为它们本质上更安全,更能抵御网络钓鱼。
随着FIDO联盟和万维网联盟(两个创建密码认证标准的组织)开发的标准在其平台上为密码密钥提供支持,包括苹果在内的大公司,谷歌和微软在内提供密码密钥作为密码替代方案的机构名单仍在继续增长。
(相关资料图)
莫里亚蒂说:“密钥是安全的一个例子:对终端用户来说是无缝的、隐形的。”
使用密码密钥允许个人通过外部设备批准登录来访问帐户,而不需要密码。当有人用密码登录一个账户时,一个提示会被发送到用户拥有的另一个设备上,比如他们的手机,允许他们通过输入某种类型的PIN码或使用指纹或面部扫描等生物识别技术来批准他们的登录。用户正在登录的系统上的公钥与用户个人设备上的私钥之间的数学关系允许系统验证登录该帐户的唯一人是拥有私钥的人。
从安全的角度来看,出于多种原因,密钥比密码要安全得多。它们为每个应用程序的每个用户提供单独的身份验证,服务器发送的每个提示都是一个新的提示,使得每次加密都不同。服务器对用户进行身份验证时发生的相互身份验证使他们更不容易受到网络安全攻击。获得密钥的访问权要困难得多,因为黑客需要访问应用程序上的公钥以及用户设备上的私钥才能进入他们的帐户。
密码的一个主要问题是,人们倾向于在多个平台上使用相同或非常相似的短语来表示密码,以使它们更容易记住,而且它们通常包含个人信息。更糟糕的是,选择简单的密码(比如“abc123”或“password”)会成为黑客轻易访问个人账户的完美目标。这意味着黑客只要知道一个用户在一个网站或平台上的密码,就可以进入该用户拥有的多个账户。
密钥消除了这个问题,因为它们消除了可能成为安全问题的人为错误的空间。没有重复使用的密钥,因为每个密钥对于每个用户和应用程序都是唯一的。
莫里亚蒂说:“以前就有人警告过你,不要在不同的应用程序之间使用一样的密码。”“密钥的设计防止了任何重复使用,所以如果你的一个应用程序的密钥被另一个应用程序暴露,风险也是可控的,因为它们是完全独立的。”
即使在不使用密钥的情况下,也有一些其他措施可以提高密码的安全性,比如使用密码管理器,在浏览器或单独的应用程序中安全地跟踪密码和其他敏感信息。但这些应用程序也不能完全免受安全漏洞的影响,正如2022年8月世界上最大的密码管理器之一LastPass被黑客入侵所示。
由于密钥仍然是一种相对较新的登录个人账户的方式,虽然它们正成为一种更普遍的功能,但并非所有服务都支持它。
使用密钥的唯一潜在缺点是用户丢失了他们用来访问帐户的辅助设备。如果发生这种情况,必须重置密钥,但也建议有一个备份设备,以防止发生这种问题。
编辑/irisz