我讨厌密码。不知何故,它们既容易猜测又难以记住,让它们不落入罪犯之手是很困难的。近年来,快速身份在线(FIDO)联盟制定了无密码认证技术标准。去年,苹果公司宣布推出一项名为“密码”的新安全功能iOS 16用户。与此同时,谷歌正在为Android开发无密码认证解决方案。
现在是时候让更多的应用程序和网站采用诸如密钥之类的无密码技术来保护客户了。密码不能被猜测或在用户之间共享。它们可以抵抗网络钓鱼的企图,因为它们都是为它们创建的网站所独有的,所以它们不会在欺诈性的类似网站上工作。最重要的是,在这个时代几乎持续不断的数据泄露,你的私钥不会被黑客入侵公司的服务器或数据库窃取。
我们都想在网上更安全。请继续阅读,了解为什么应该尽快尝试无密码身份验证。
为什么需要无密码认证?
无密码认证的广泛采用正处于一个非常关键的时期。Digital Shadows的研究人员最近报道(在新窗口中打开)截至2022年,有超过240亿个登录凭证因数据泄露而暴露。这个数字上升了65%自2020年以来(在新窗口中打开),研究人员认为恶意软件攻击,社会工程诈骗,以及密码共享是这一增长的罪魁祸首。
该报告的结论是,广泛采用无密码认证是必要的,以防止犯罪分子使用被盗的用户名和密码组合接管账户。在无密码身份验证在网上被广泛接受之前,可以通过多因素身份验证和使用来减轻因数据泄露而导致的账户接管和身份盗窃事件密码管理器为每次登录创建和存储新的凭据。
什么是密码?
passkey是一种无需密码即可登录应用程序和网站的方式。passkey是通过身份验证的设备生成的一对加密密钥的另一个名称。公钥和私钥组合起来创建一个密码。
您的目标应用程序或网站在您登录时存储您的公钥。私钥只存储在你的设备上,在你的设备验证了你的身份之后,这两个密钥结合在一起,你就可以访问你的账户了。PCMag的兰斯·惠特尼写了一篇设置和使用密码的指南。
生成密钥的设备或软件通常使用生物识别认证工具,例如FaceID或TouchID,以验证您的身份。如果密码管理器是passkey来源,则可以使用strong主密码而不是生物识别认证。每个应用程序或网站的密码都是唯一的,存储在密码管理器的保险库或设备的钥匙链中。密码可以跨设备同步,使其成为一个方便的选择。
在哪些地方可以使用无密码认证?
使用密码,你可以登录一些网站,包括百思买、eBay、b谷歌、Kayak和PayPal。几个密码管理器,包括编辑选择获奖者Bitwarden和Dashlane,通过生物识别认证为客户提供进入网络保险库的无密码访问。其他密码管理公司,如NordPass,最近也宣布了这一计划开发在客户保险库中存储密钥的方法(在新窗口中打开)。
主流应用程序和网站对Swift密钥的采用令人鼓舞,但要广泛采用无密码还需要时间。许多较小的网站甚至不提供多因素身份验证因此,我们可能需要等待一段时间,直到最新的FIDO安全标准能够有效地消除密码。
与此同时,尽可能使用密码,并确保在支持它的任何帐户上启用了多因素身份验证。您还应该继续使用密码管理器来创建和存储凭据,直到不再需要它们为止。
比如你正在读的东西?获得额外的故事,每周发送到您的收件箱。报名参加SecurityWatch通讯。
本周安全领域还发生了什么?
账户接管统计数据显示,几乎所有Coinbase用户都依赖基于短信的2FA。Coinbase要求所有账户都通过双因素认证来保护;默认情况下,这些代码是通过短信发送的。然而,这种方法很容易受到sim卡交换攻击。
PayPal: 3.5万用户的社会保险和税务信息被黑客窃取。黑客通过“凭据填充”攻击成功猜出受影响用户的密码,从而访问了这些信息。
黑客在不安全的服务器上发现了FBI禁飞名单。这名黑客发现了这些数据,据称这些数据包含了数十万名乘客的姓名和出生日期,此前支线航空公司commteair将这些数据放在了一个开放的服务器上。
安全研究人员的好消息,坏消息:联邦政府不太可能起诉你,州政府是另一回事。在ShmooCon黑客大会上,信息安全律师哈利·盖格警告说,一些州的法律继续威胁着合法的研究——就像最近中国的一项法规一样。
在“永久危机”时代,人们越来越懒于工作场所的安全。1Password的一项调查发现,45%的人称自己正在经历“永久危机”分心,他们表示不会费心遵守所有的工作场所安全规定。