或者我应该问"我们能不能过摆脱好密码?“
安全世界知道密码是一个问题。产品船用默认密码这是永远不会改变的。人重用旧的密码或者采用易于猜测的密码,即黑客轻易击败蛮力。或者用户根本无法跟上必须记住27个不同的密码适用于各种在线账户。
多次之前,我们已经讨论了使密码更安全的方法。使用不包括个人身份信息的更长且更复杂的短语。考虑单点登录或密码管理服务。采用两个或多因素身份验证(MFA)因为简单的登录凭据不够安全。
然而,这些方法无需消除我们对公共和私人信息之间的防护线的密码依赖。最终,密码将始终容易受到人为错误。
打击密码问题,移动设备和应用程序开发人员开始了采用生物识别替换数字密码的措施,包括使用指纹,图形和面部识别。我很确定很多公司正在努力解决这个问题的解决方案,或者甚至觉得他们已经找到了它。但到目前为止,他们都没有甚至是远程像密码一样流行。
在我们考虑不那么密码的未来之前,让我们看看一些现有的安全措施和密码的替代方案。因为有一件事是肯定的:没有人乐于记住每个网站,应用程序和设备的不同密码。
但是,如果用户继续在笔记本电脑或后面的密码上写下他们的密码,请在跨平台重新使用密码,或者用易于记忆粘贴组合像1-2-3-4-5,那么网络罪犯就会继续利用他们的数据进行犯罪活动。
密码经理
密码经理对于我们这些足够关心每个网站使用不同密码的人来说,它是一个救命稻草。但它们真的是密码的替代品吗?你还需要原始密码,对吧?实际上,您需要一个额外的密码,因为密码管理器要求您开发一个主密码来管理所有密码。但是,好处是,在将所有帐户凭据输入密码管理器一次之后,您只需要记住主密码即可。
你可能会说,如果你失去了密码管理器的访问权限,或者密码管理器以某种方式被泄露了,这只会让事情变得更糟。的确,存在一些风险。然而,密码管理人员经常对账户的原始密码进行加密或打乱,而那些使用2FA或多因素身份验证的账户有额外的安全措施来防止密码泄露。
密码管理器并不完美,但它们通常比当前的标准选择安全得多。我们继续建议用户使用MFA密码管理器作为网络安全最佳实践。
单点登录(SSO)
SSO软件在工作场所流行,以管理组织拥有的各种第三方应用程序,以及更好地保护偏远工人对公司资源的访问。通过登录中心站点时,您在开始工作日时,您通常可以在一天中剩下的时间内获得批准的公司应用程序和服务器的服务器和服务器。本组织的优点是可以基于各个用户需求和间隙来调整授予的访问。
SSO软件的使用使得当你离开办公桌时锁定你的电脑变得格外重要,或者永远不要让你的笔记本电脑在咖啡店无人看管。这是因为它管理的登录凭据被授予机器,就好像您是唯一的用户一样。所以,如果你不锁办公桌的话,恶作剧的约翰可以看到你最后的工钱单。或者更糟的是,如果你的电脑被偷了,而你仍在登录,罪犯可以查看你能访问的所有工作场所的数据。
找回密码
不幸的是,许多用户已经退回到密码恢复模式来访问他们的帐户。如果他们不能把密码写下来,但必须记住复杂和不同的每个帐户密码(和还没有采用密码管理,要么是因为他们没有意识到服务,不愿意付钱,或对其隐私和安全利益),那么他们有其他选择,但始终重置吗?
有些人为他们需要登录的每个网站滥用密码恢复功能。你可能知道钻头:
- 点击“我忘记密码了”。
- 收到一封带有URL的电子邮件,你必须点击它才能失效,或者更糟的是,他们会以明文形式向你发送一个新的临时密码。
- 登录并更改新密码,您就在您的快乐方式上。
- 当你想再次访问时重复。
当我丢失访问我的一个电子邮件帐户时,我最近痛苦地意识到这种方法可能的缺点。哎呀!当您没有密码时会发生什么,并且无法检索其替换,因为您要么被锁定在电子邮件帐户中,请将其关闭,或者不记得您的电子邮件地址的密码?
幸运的是,我不需要知道。我可以登录并在必要时更改我的电子邮件帐户。但对于那些依赖密码恢复的人来说,这就需要记住电子邮件帐户密码,并相信电子邮件凭证永远不会被泄露或窃取。因为如果你的邮件被黑了怎么办?现在你所有的密码重置链接都被直接发给了一个网络罪犯。谈论有不好的效果。
生物识别技术
生物识别技术指使用物理特性来识别用户并允许他们访问和控制其计算机。而不是在键盘上键入的字母,数字和符号,使用生物识别身份验证度量的设备和计算身体的物理属性,从压力到由指纹制成的微小印记,面向面部识别和声带。
虽然生物识别技术正在获得越来越多的关注,特别是作为MFA的认证因素之一,但仍有一个主要问题潜伏在眼前。如果有人通过提取指纹成功“窃取”了你的生物识别身份,该怎么办?或者是由于某种事故或整形手术而“失去”获得它的机会?你能做什么——长一双新眼睛吗!甚至你的手指数量在某一时刻也会改变。
行为的生物识别技术是越来越多的金融机构开始注意到的东西。这是一种动态的身份验证形式,调查一个人的行为模式 - 他们与系统和技术交互的方式 - 识别用户。
虽然它的准确性很高,但行为生物识别还不能100%匹配,所以目前这项技术被用于监控会话,而不是登录认证。这意味着银行或其他组织可以使用行为生物识别技术来检查是否仍然是您在使用该网站,或者是否有其他人接管了会话并相应地让您退出。
身体钥匙
这是一种身份验证类型,通常是双因素身份验证(2FA)的一部分。首先你登录,然后你按下物理键上的一个按钮来证明你是谁。这可以是一个设备连接到您的电脑作为USB棒或蓝牙或任何其他近距离接触。2019年2月,谷歌宣布运行7.0或更高版本的Android设备可以用来让人们登录网站和应用程序。使用FIDO2,这是FIDO联盟开发的一种开放标准,Android用户可以使用生物特征或密码登录设备自动登录到他们的网站,而不是个人密码。
使用物理安全密钥的下方是它需要额外的硬件,可以丢失或破坏,或者在Android设备的情况下,非常昂贵。尽管如此,它仍然可以是一个很好的替代方案,因为它可以在各地使用,这甚至没有接近真相。
iOS设备目前不使用FIDO2标准42%的Android用户仍在运行6.0版软件和旧版本。此外,虽然许多浏览器采用FIDO标准,但其API仍然需要通过软件和应用程序开发人员合并,以便支持使用该功能登录其程序。
身份验证应用程序
认证应用程序允许你用手机登录特定网站,通常是通过扫描网站上的二维码,然后使用生物识别技术或密码通过手机进行认证。你的手机会向网站发送确认信息,这样你就可以继续了。
这些认证应用程序经常被银行和其他公共机构使用。然而,QR码人们已经知道,这些缺陷被网络罪犯利用,经常用于诈骗。
Trust-score身份验证
这与行为生物识别技术密切相关。谷歌或许其他人也在研究这个问题。信任评分是根据几个因素计算的,比如位置、面部识别和打字模式。如果分数足够高,你就可以进入。
听起来很棒,但是你能想象你被拒绝访问时必须令人沮丧,你不知道为什么?如果此类身份验证软件会告诉您您从通常不同的情况下进行的,这会打开攻击者通过试验和错误冒充您的可能性。
证书
客户身份验证证书是安全证书,用于在SSL握手期间对客户端进行身份验证。它通过交换客户端身份验证证书来验证访问服务器的用户。简单地说,这意味着您的系统上有一个有效的证书,它是由受信任的证书颁发机构颁发的,没有过期。
来回发送一些加密的信息,以确保您拥有该证书附带的公钥和私钥。当交换成功时,服务器可以为您提供访问您有权获得的资源的权限。然而,网络罪犯已经找到了方法滥用证书制度通过恶意软件,所以这种方法不是100%安全的。
SQRL
与认证证书有点类似的是GRC的认证方法,称为SQRL。对于sql工作原理的完整描述,我们推荐阅读欢迎使用SQRL (PDF).这是一个有趣的概念,结合了其他一些方法的优点,如加密,进入单个因素认证方法。
检查偷来的凭证
我们想指出您可以使用的一些服务来检查您的密码凭据是否被盗或受到损害。我们的大多数读者都会熟悉我被抓了,你可以根据电子邮件地址进行检查。
在VeriCloud的网站,您可以根据电子邮件地址和域(对于组织)进行搜索,并且您可以将Vericloud电子邮件发送给您泄露的密码。当您的电子邮件地址出现在这些网站上时,不要感到内疚。它发生在我们最好的!但检查它们的找到,并确保更改您使用的密码,并没有在其他地方重新使用它。
关于密码的数学事实
如果你需要创建新密码,这里有一些东西需要考虑。你知道这几个额外的字符有多大的不同吗?
基本上,密码的强度由两个不同的因素确定,并且可以用公式计算可能性的数量一个以…的力量b,在那里一个=允许的字符数和b是密码的长度。
例如,可以包含六个小写字母的基本密码将具有许多可能性26 ^ 6,其等于308,915,776。这看起来很像很多,但在蛮力攻击中,这样的密码将持续不到一秒钟。
加上两个字母,我们就有大约2090亿个选项,这样的密码可以抵御蛮力攻击几个小时。如果你也可以使用大写字母、数字和特殊字符,方程的底是77,我们可以用6个字符达到2080亿。
不过,我们现在看到的这个密码只要几个小时就能破解。要构造一个在当前计算速度状态下持续生命期的密码,需要一个长度为12个字母(95,428,956,661,682,176个选项)或9个字符(如果我们可以使用完整的字符集(95,151,6694,449,171,437个选项)的密码。
请注意,计算机速度在不断提高,您的密码被泄露的可能性仍然存在,所以不能保证这样的密码会持续下去。但目前,长密码和多字符密码仍然是最重要的。虽然生物识别、物理密钥和网络认证等其他方法正在研究中,但安全漏洞已经被识别出来。
至于未来,已经分发了关于植入微芯片,脑密码和基于DNA的识别的想法,但伦理关注织机大。是否会有一个真正100%的安全系统来替换密码?
我们的猜测是没有。事实上,没有100%的保护等物品。但随着更好的实践和更容易,更具创新的技术的广泛采用,密码问题最不对消费者令人讨厌 - 这将使它对世界更加安全。
评论