今天是世界密码日,这有点让人扫兴。多年来,安全研究人员一直在抱怨密码的问题,并梦想着一个更好的、无密码的未来。但这个辉煌的梦想仍然难以实现,因此世界密码日提醒我们,为什么这种笨拙、过时的技术仍然是我们拥有的最佳解决方案。
有问题的密码
密码之所以如此引人注目,是因为它们可以同时解决多个问题。密码验证个人的身份,因为只有正确的人才知道正确的密码。要求密码限制了对文件和基础设施的访问,允许具有不同访问级别的多人使用相同的系统。最重要的是,密码是存在的外电脑,安全储存在某人的脑袋里。
不幸的是,密码并没有跟上需要密码的网站和服务的数量。2018年,密码管理公司Dashlane报告称,普通人拥有150个需要密码的账户(在一个新窗口中打开).更不用说许多雇主要求他们的员工经常修改密码了——尽管事实的确如此毫无益处的.
所有这些密码压力迫使人们走捷径。人们与朋友和家人分享密码。他们使用易记的but容易被猜到的密码.他们在不同的账户之间循环使用密码。
密码也变成了一种商品。当一家公司遭受数据泄露在美国,有时窃取的登录信息会在秘密的在线市场上出售。其他攻击者购买这些数据,可能会从其他漏洞中添加更多信息并转售,或者利用这些数据进行某种形式的赚钱欺诈。
问题解决方案
虽然密码最初是一种优雅的解决方案,但多年来的问题一直是:“我们用什么来取代它们?”生物识别技术长期以来一直是密码的接班人,也就是说,使用人体的一些物理测量来验证。视网膜图案、指纹、手指长度、声音甚至心跳都被认为是密码的替代品。这种吸引力显而易见。你不可能失去或忘记你的眼球,它同样不能买卖。最重要的是,当与强大的算法相结合时,相同的生物特征可以被重用,而没有重复使用密码的风险。
不幸的是,生物识别技术有三个主要不足之处,这应该使我们对其广泛采用持怀疑态度。
首先,一些生物识别技术很容易意外地进行身份验证。以手机的面部扫描为例,我认为这是现代科技中最严重的错误。因为具有这种功能的手机可以立即扫描和认证用户,只要举起手机就可以登录。更糟糕的是,要解锁你的手机,别人只需要把它举到你面前。
第二,一些生物特征可以被集体读取。再一次,面部识别是最严重的问题。强大的面部识别系统可以在一定距离内准确地识别个人,而广泛使用的监控摄像系统可以在一个人走动时对其进行跟踪。现在,人们可能不会仅仅因为他们在iphone上使用FaceID就加入这种“老大哥”监控,但我认为,这样做会让人们更容易接受自己的身份被被动扫描。从FaceID开始,到panopticon结束。
第三,也是最令人担忧的,是执法可能会启动更坚实的法律基础迫使个人提供生物识别信息而不是要求密码。撇开法律判例不谈,你可以看到问题所在。警察(以及FBI、TSA、ICE等)要想破解一个存在于你大脑中的密码,要比破解一个存在于你手指上的识别码困难得多。这个问题非常严重,以至于苹果和安卓都为他们的移动设备添加了锁定功能暂时禁用生物识别登录并需要个人识别码或密码。
只有你可以修改密码
在未来,认证可能会在多个设备上进行,可能不需要使用密码。相关的技术已经存在,我在审查时也一直在测试它硬件多因素键.然而,无密码登录并没有被广泛采用,人们购买仅用于认证的设备的意愿也不大。此外,无密码登录通常会包含生物识别,以及随之而来的所有问题。
然而,在这项技术变得像密码一样便宜和简单之前,要靠我们让密码变得更安全。要做到这一点,我们都需要三件事:
密码管理器
一个密码管理器是一款生成和回放密码的软件。它可以为每个需要认证的网站和服务创建唯一的、复杂的密码。大多数密码管理器都很便宜,而且很多都很便宜免费的.但你还是需要记住一个非常好的密码要解锁你的密码管理器,这比你自己记住数百个密码要容易得多。
多因素身份验证
为了增加安全性,使用多因素身份验证(MFA),因此您的安全性不仅仅依赖于密码。实际上,MFA通常需要一个密码(来自密码管理器)和一个代码生成器应用程序或者硬件键。由于攻击者不太可能同时拥有这两种身份验证形式,所以他们很难接管你的账户。
耐心
使用密码管理器和MFA意味着改变你的习惯和更新旧的登录,这似乎令人望而生畏。但这两项对密码的修改将最大程度地提高你的网络安全和隐私。只要有一点耐心,你就会马上得到回报。
我们从来没有像现在这样接近于永远摆脱密码,但现在我们被它们困住了。它们令人沮丧却又灵活,优雅却又不安全,在可预见的未来,它们可能是最好的解决方案。
记住这一点,密码日快乐!使用密码管理器。