除了密碼,我們還有更好的替代品嗎?
不使用密碼的想法固然很好,但是我們也必須審慎考慮其替代品所帶來的後果。
科技安全人員不喜歡密碼的原因是,在忘記密碼後對密碼進行重置是世界上最無聊的工作,而且他們也知道所有人在密碼安全方面做得都不夠好。
我們也不喜歡密碼,主要是因為安全人員不會讓我們使用以前喜歡的密碼,如1234或者pa55w0rd。我們不喜歡記住複雜的密碼,所以我們會把密碼寫在紙上,然後把寫有密碼的紙給弄丟。隨後我們需要詢問安全人員如何重置密碼,如此往復,周而復始。
沒人喜歡密碼,因為黑客能夠找到、盜取或者很輕易地破解這些密碼,而且在很多情況下,密碼都是通往帝國的鑰匙,不法分子一旦擁有了這些密碼,那麼他們就能夠為所欲為,無人能擋。
不安全、煩人或者成本昂貴——在很久之前,密碼就應該被摒棄,但是人們對其最基本的概念是密碼易於使用和記憶。所以最終,人們還是選擇使用密碼。
大多數的應用程式都提供瞭如雙因素認證等方式。這一理念是使用你所知道的資訊,如密碼,再加上你所擁有的資訊,如手機上認證應用程式所生產的驗證碼(或者通過應用程式傳送的簡訊驗證碼,但是安全性較低),這種方式要好於只使用單獨的密碼,而且好處還在於能夠幫助減少最基本的(儘管效率很高)安全洩露事件,因為洩露事件通常都是始於釣魚郵件誘導使用者洩露密碼。
因此,下一步會是怎樣?由於使用了生物特徵識別技術作為登入裝置的標準方式(如指紋和麵部識別),所以智慧手機密碼技術的發展要超前於PC。你所擁有的密碼資訊被你的身份特徵所取代。
使用指紋解鎖的速度要比輸入密碼解鎖快很多,而且通過拿起手機看著螢幕的方式來解鎖手機完全是一種很自然的動作。未來,這種解鎖方式也可用於登陸你的PC或者其它裝置。
微軟已經計劃在Windows 10中使用多因素認證和Windows Hello生物特徵識別技術相結合的方式來淘汰密碼,目前Windows Hello的使用者約為4700萬人。
在今年早期,一家英國銀行表示他們計劃嘗試讓客戶通過Windows Hello使用面部或者指紋認證來訪問他們的賬戶。在本月初,英國網路安全機構國家網路安全中心對這一指南進行了更新,並表示政府組織必須使用Windows Hello for Business作為Windows 10部署工作的一部分。
毋庸置疑,從安全的角度來看,這些方式都是很有好處的,而且對這一技術的使用一直都是很合理的,因為生物特徵識別技術可以安全地儲存在本地。對於生物特徵識別技術資訊被盜竊的恐慌或許有些誇張,但是也有一些真實存在的風險,大型的生物特徵識別資料庫會對安全造成嚴重的威脅。
但是筆者在想,在某些情況下,這種方式會不會受到使用者的抵制,因為使用者不習慣使用他們的身體部位作為認證過程的一部分。
筆者在看手機的時候也會有點緊張,希望手機能夠識別筆者的面部。這或許是因為筆者並不確定自己的手機是否能夠正確識別筆者的身份,而且讓筆者也有些疑惑的是:這一身份資訊是由誰決定的。
還存在一種危險,我們冒險使用生物特徵識別技術(如面部或者指紋)作為身份的標準形式,而不考慮這一方式會帶來的後果。例如當前,很少人願意讓面部或者指紋認證成為訪問政府服務的標準方式。而且我們所使用的也不是唯一的生物特徵,或許還有虹膜、心跳、聲音或者DNA呢?使用一些大家都知道的資訊(如面部)來替代你的私人物品(如護照),又意味著什麼?誰來決定我們使用什麼方式以及在什麼時候使用這一方式?在我們使用生物特徵識別技術以及向密碼說再見之前,我們需要認真地回答這些嚴肅的問題。
提高安全性是件好事,但是知道其所帶來的後果也同樣重要。
原文作者:Steve Ranger
編 譯:信軟網