可替代现有密码的技术
 |
生活在互联网时代的我们,每天都会面临一项重大的考验。这项考验无数次冲击了我们对自己记忆力的信心,这个考验就是——记住密码。除了不好记之外,密码安全也是一个重要问题,我们的密码可以通过穷举、盗取信用证书、网络钓鱼等技术手段被他人获得。
随着近年来重大数据泄露事故的频发,过去基于密码的在线身份验证技术已经难以维持互联网经济的稳定发展,安全界关于“密码已死”的呼声越来越高。
越来越多新的验证方式出现,逐步替代了密码在一些场景中的应用,最典型的例子就是苹果公司推出的Touch ID指纹识别技术。Touch ID在用户体验上是一次巨大的提升,也掀起一波指纹识别潮流。随后,众多手机厂商纷纷效仿,指纹识别俨然有成为手机标配的趋势。
此外,人脸识别(已成熟应用在门禁、软件等领域)、声纹识别(信息、金融领域)也在快速发展。这些新的验证机制带有极强的生物属性,难以复制、验证方便,而基于密码另一形态的数字证书也发展迅猛,在通讯、金融领域已广泛应用。
, 百拇医药
通过指纹、虹膜等人体固有生理特征,再结合计算机、光学、生物传感器和生物统计学原理对个人身份进行识别和判定,确实能够将人们从繁琐的密码迷宫中解脱出来。在这样的背景下,一个推动去密码化的强认证协议标准组织FIDO联盟应运而生。FIDO的目标是创建一组新的协议,支持对Web应用持续的、安全的、无需密码的访问(即所谓的非密码强认证)。
该联盟认为,指纹识别的功能不应该仅是设备解锁这么简单,它应该让服务、移动支付甚至企业管理变得更为高效。他们将其终极目标概括为4个字:“杀死”密码。
FIDO 将用户的密码凭证储存在某些设备中,用户的密码不会被发送出去,而是在设备内部通过软件来处理。企业如果要使用 FIDO 的认证方式,只需要在服务器上安装验证软件,然后在客户和员工的设备上安装相应的插件或应用程序即可。一旦验证通过,软件会将密钥发送到登录服务器,此过程中系统不会保存任何登录信息。之后,登录服务器会发送密钥到用户设备上,表示验证已经通过。与目前的用户名和密码登录模式相比,这种登录方式很难被黑客破解。
, 百拇医药
FIDO标准支持任何一种认证方法,可选用的手段包括生物特征识别、语音识别、脸部识别、USB 验证令牌、NFC 技术和一次性密码等。不论是用传统的硬件认证,还是用生物辨识如指纹、虹膜、声纹、脸部辨识,依照 FIDO 的标准,都能够当作身份识别认证使用。
FIDO联盟的成员越来越多,包括谷歌、黑莓、微软、阿里巴巴等诸多世界知名的公司。他们遵循一个统一的技术和安全标准,随之带来的是双赢的结果,比如指纹识别从一项技术落地到实际应用场景中。
设备厂商在加入 FIDO 联盟之后,可以在其设备中放置一颗安全芯片,保证用户的账号和信息安全。当然,用户也可以自行购买指纹识别器一类的设备。
指纹识别技术还不完美,但这只是一个开始。谷歌正在开发一款USB钥匙扣,用它可以直接登录账户;微软虽然没有透露更多细节,但亦表示正在考虑寻求替代密码的另一种方式。
, 百拇医药
相关链接
二维令推动无密码时代来临
目前,互联网上已经普遍出现“密码不密”的现象,由石盾科技推出的二维令所采用的“无密码”认证方式或许是解决密码泄露、输入繁琐等诸多弊端的另一个可行途径。
二维令只需简单“扫一扫”就可以实现更加快、易、安全的互联网身份认证。说到二维令,很多人可能还比较陌生;但如果说二维码,相信很多人已经十分熟悉。二维令就是利用二维码带来的便利性帮助用户进行更高级别安全登录的,是传统登录方式“用户名+密码”的颠覆者。
二维令由两个部分组成:一部分是二维令手机APP,另一部分是只有成人1/4手掌大小的二维令物理令牌。随着微信、支付宝的迅速普及,方便、简易、快捷的扫二维码获取信息、完成支付、参与活动等已经被许多个人、企业或组织所熟知和使用,而二维令的出现则赋予了二维码一种全新的应用模式,那就是安全级别更高的身份认证。
, http://www.100md.com
据了解,二维令采用国际通用的经典加密算法ECC,密钥长度达到256比特,目前没有人能直接破解这个长度的密钥。
除此之外,二维令是以智能手机扫码登录的方式完成身份认证,因此不存在记忆用户名、密码的烦恼。登录网站,用二维令APP扫一扫专门为二维令开辟的第三方入口二维码就可以轻松登录;登录手机其他APP,只需选择二维令登录并点击授权即可,连扫码环节都可省掉。像聊天、支付、邮箱等涉及个人敏感信息的网站,在使用二维令APP扫码的基础上,用户再扫一扫二维令物理令牌,双重保障将更大幅度提升个人登录安全。
从未来的发展趋势看,会有越来越多的场景通过人体的面容、指纹、声纹等方式进行验证。我们可以预见,需要单纯密码的场合会越来越少,重要的是从现在开始,保养好我们的嗓子、手指和脸才是王道。
【责任编辑】赵新宇, 百拇医药(晓野)