在互联网高度发达的今天,账号应该是我们日常生活中接触最多的东西之一,也是当今人们生活中不可或缺的必需品。每次申请账号,自然会有相应的密码登录。但是现在每个人都要同时面对生活和工作中几十个不同平台申请的每个账号,所以设置密码会很麻烦。
有些人可能害怕混淆,为每个账户设置相同的密码,这是一种非常不安全的做法。还有的为了安全给每个账号设置不同的密码,但是需要建立自己的备忘录,也有丢失等风险。
如果密码安全管理做得不好,无论是企业还是个人都有很大的损失风险。这就是为什么如今的微软、苹果、谷歌等科技公司在为消费者设计产品时,会尽最大努力让用户尽量减少密码的设置和使用。但问题是,这些科技巨头真的能改变自己的密码使用习惯吗?
密码是什么时候开始被广泛使用的?
计算机保护最早使用密码要追溯到1960年的麻省理工学院。当时电脑还处于巨大状态,只能处理一个人的工作量。一个叫费尔南多·科尔巴托的人对这种情况非常沮丧,所以他设计了一个计算机分时系统,简称CTSS。
CTSS是一个用来分配计算机处理能力的操作系统,使计算机可以同时处理多人的工作量。人多了,自然会出现个人隐私问题,于是科尔巴托就创建了密码。有趣的是,第一台被设置密码的电脑也是第一台被破解的电脑。
传统的密码设置规则是由国家标准技术局在2004年发布的一份文件制定的。该文件指出,用户在设置密码时应使用不少于8个数字或字母,至少包括一个大写字母、一个小写字母、一个数字和一个特殊符号,并保持不定期更新密码。但2007年国家标准技术局修订了这一密码设置规则,指出密码最好使用较长且容易记住的短语,只有在有被盗风险时才需要更新密码。
使用密码引起的问题
事实上,密码本身并不是一种非常有效的安全管理行为。在2015年约翰·奥利弗对斯诺登的采访中,斯诺登表示破解一个普通密码并不是很难,尤其是一些糟糕的密码设置,这使得系统容易受到入侵。比如一个普通的8位密码,不到一秒钟就能破解。
事实上,即使你不是一个技术高超的黑客或经验丰富的程序员,破解密码对普通人来说也不再遥不可及。【/s2/】有一个网站叫“weleakinfo”,是互联网上的人用来收集和分享各种泄密信息的。它就像一个搜索网站。您只需输入您的姓名或电子邮件地址,您可能会找到一些关于您的帐户的信息,包括密码信息。这样的网站不止一个。
一份关于2013起信息披露案件的报告发现,29%的案件涉及窃取用户密码。另一项研究发现,2019年美国因信息泄露造成的平均损失超过800万美元。即使密码信息没有被窃取,企业也需要花费巨大的成本进行安全的密码修改。
据数据分析,一些大型企业通常会设立IT支持部门,帮助员工解决IT问题,包括企业系统的密码修改。很多员工经常因为各种原因忘记密码,需要IT支持部门帮助修改密码。每个密码更改请求的人工成本,以时间和工资计算,平均为40至50美元,一名员工一年内密码更改申请的平均次数为6至10次。
【/s2/】拥有数千员工的大型企业,每年的成本预计会达到几十万甚至上百万美元。申请修改密码可能花费的时间成本不在此列。【/s2/】拥有数万名员工的巨型企业,如谷歌、微软等,可以想象在这部分花费的金额。在2018年接受CNN采访时,一名谷歌前员工透露,谷歌每年花200多万美元帮助员工更改密码。
当代身份认同方式
现代识别过程包括三种认证,
用户个人所知信息,如密码,验证码等。 拥有用户个人信息的物品,如手机,信用卡等。 用户本人,如指纹,面部,瞳孔,声音等。第一类属于三类中风险最高的,经常遭受数据泄露等信息安全问题。但是如果其中两个可以同时作为认证,那么账户安全保护会有很大的提升,也就是俗称的两步认证。
比如银行卡取钱过程中,同时使用上述第一种和第二种验证方式。银行卡属于带有用户信息的个人物品,插入银行卡后输入密码的行为属于用户个人所知的信息。
指纹识别和人脸识别等生物识别技术广泛应用于当今的智能设备中。而Siri、Alexa、Google Assistant等语音助手则可以提供语音识别。这种语音识别逐渐应用于金融行业,以保护客户的财务管理。比如银行客户给银行打电话,电脑会自动匹配客户的语音、口音、声调,然后识别客户身份。
什么是FIDO联盟
一个名为FIDO(快速身份在线)的联盟正在大力推广和鼓励用户使用两步认证。其成员几乎涵盖了全球所有顶尖科技公司,如谷歌、微软、苹果、三星、阿里巴巴、英特尔、联想等。致力于标准化两步身份验证方法。
FIDO推广的认证方式已经成为Android和Windows系统的核心部分。所有安卓设备和微软设备都配备了FIDO标准化两步认证方式,其中以生物识别为主。这些设备的用户可以随意使用指纹或面部识别来登录他们的帐户。现在连美国政府都开始采用FIDO标准化的认证方式。
FIDO标准的优势之一是它如何存储用户用于身份验证的信息。传统的密码验证通常将用户的密码信息存储在服务器中,用户个人信息的泄露往往是由外部入侵服务器造成的。FIDO将用户的个人信息存储在本地,用户可以用自己的手拿着。这些信息是指你的指纹信息、面部信息、语音信息等等。
主要企业正在推广非加密技术
微软几年前开始**非加密。2015年11月,时任微软CEO的satyanarayana nadella向大家展示了Windows系统如何使用人脸识别技术登录电脑。微软每年要应对多达6.5万亿次的系统入侵,这也导致微软更加重视信息安全。90%的微软员工不再使用密码登录。
窗口你好
作为FIDO联盟的成员,微软还将用户的认证信息本地化存储在个人设备中。2018年,微软的新系统更新允许用户使用第三方生物识别硬件,如Yubiko的指纹识别密钥。
Google也在努力清除人们生活中的密码。2017年,谷歌开始要求员工使用安全密钥硬件进行账户登录。2018年,谷歌将这种安全关键硬件商业化,并将其扩展到消费市场。人们可以使用这种硬件独立的个人智能设备进行FIDO标准化两步认证。2019年,谷歌宣布将这一安全关键功能移植到Android 7.0。用户可以使用安卓手机通过蓝牙在其他设备上进行两步认证。不久之后,iOS平台也适应了这个功能。
同样,自从2013年iPhone5S推出指纹识别以来,苹果一直在努力推广无密码。[/s2/]多年后,苹果的触控ID被其他公司作为智能设备行业的标杆。2017年,苹果为iPhone X配备了人脸识别技术,并推出了Face ID。与指纹识别被破解五万分之一的概率相比,Face ID被破解的概率是百万分之一。
但是和微软、谷歌不同,苹果的速度总是很慢,苹果提供的认证至今没有采用FIDO标准。触控ID和Face ID都没有通过FIDO认证,但苹果已经在为此做准备了。苹果的两大主要系统iOS和MacOS在最新版本中已经开始支持FIDO技术,这意味着在不久的将来,苹果也将开始全面采用FIDO标准化认证。
标签
在推广非加密的过程中,还有很多困难。因为密码使用是用户根深蒂固的行为和思想,所以仍然需要投入大量的教育成本来帮助用户改变思维,认识到密码使用的风险。其次,在技术层面上,即使现在制定了FIDO标准,仍需要更多的企业积极加入和推广,让整个互联网在识别上完全标准化,让用户更愿意抛弃密码。
