人們每一天都要使用各種不同的使用者名稱和密碼,登陸各自不同的賬號。不過,稍等一下,使用者名稱和密碼真的足以保護你的安全麼?來自Google的專家為你解讀下一代基於裝置的安全認證方式——植入了YubiKey加密卡的Google戒指,以及當下Google的兩步認證系統。
Google正在試點一個新的計劃以瞭解基於USB的YubiKey登陸裝置是否能幫助他們解決密碼安全的困境。
Mountain View, 加利福尼亞——你想讓登陸Gmail郵箱變得更加容易麼?只需戴上戒指然後在電腦上輕輕一敲聽上去怎麼樣?
這也許能比你想象的要更快發生。Google的安全團隊在將於本月晚些時候發表於IEEE安全與保密雜誌上的一篇科研文章中描繪了這樣一種基於手指上的戒指的認證方式。文章中,Google負責安全事務的副總裁Eric Grosse和工程師Mayank Upadhyay簡要地介紹了人們未來登陸網站的各種方式,而這一切在他們看來僅僅只是一個時間問題。
2012年已然成為了密碼神話破滅的一年。在這一年裡,網際網路上的每一個人似乎都收到了一些垃圾郵件或是絕望的“求援”——也就是那些所謂的“在倫敦遭遇搶劫”的騙局。這些郵件都是從那些被黑客攻擊了的人的賬號中傳送出來的,而我們連線雜誌自己的記者Mat Honan也向所有人展示了黑客的攻擊是何等地具有毀滅性。
那些在去年八月攻擊了Honan的黑客們刪掉了他的Gmail賬號。他們盜用了他的Twitter賬號並且釋出一些帶有種族主義的資訊。此外,他們還遠端攻擊了他的iPhone, iPad和膝上型電腦,刪掉了他近一年的郵件和圖片。總而言之,這些黑客們將Honan全部的數字生活一概抹去了。
密碼是一種給予網際網路的使用者們以身份認證的簡單而廉價的方式。但是,對於今天的網際網路而言,它並不是一個足夠安全的方式,而且在未來,它也永遠不會變得足夠安全。
“密碼和簡單的像cookies那樣的無記名令牌已經不再足以保護使用者的安全了。” ——Eric Grosse和Mayank Upadhyay
Google也同意這樣的觀點。“就像網際網路行業中的很多其他公司一樣,我們感覺到了密碼和簡單的無記名令牌,比如cookies,已經不再足以保證使用者的安全”。Groose和Upadhyay在他們的文章中這樣寫道。
於是,他們嘗試了一些新的方式以取代密碼,這其中包括了一種很小的名為YubiKey的加密卡——把這個加密卡插入USB介面後,使用者可以自動地登陸到他們的Google賬號中。為了使得這些加密卡能用,使用者需要修改Google瀏覽器中的一些設定,不過他們不需要下載任何軟體,而且瀏覽器被設定成為支援加密卡後使用十分方便:你只需開啟網站頁面,將加密卡插入USB介面,然後只需輕輕一點滑鼠便成功登陸了。
他們預見,在未來,你只需要認證你的某一個裝置——比如你的智慧手機或者類似YubiKey的任意一個東西,然後你就可以像使用汽車鑰匙那樣使用這個裝置來為你的網路郵箱和賬號“點火”了。
而在更遠一些的將來,他們希望事情能變得更加容易,比如說通過無線技術將你的認證裝置連線到電腦。
“我們希望能夠通過簡單的敲擊電腦實現智慧手機或是嵌入了智慧卡的戒指對一臺新的電腦的認證,即使是在你的手機沒有訊號的情況下”,這些Google的僱員們如是寫道。
Groose認為,未來我們也許並不能完全排除密碼,但至少我們肯定不再需要那些複雜難記的密碼了。“我們仍然需要一些為螢幕解鎖的方式,也許是密碼也許是別的什麼,不過主要的認證方式將會是一個類似於此的令牌或是等價的某些硬體”。
這意味著如果有人偷了你的加密卡或是你的智慧戒指,你最好立即向有關部門報失。
Grosse和Upadhyay相信一旦足夠多的網站開始支援這樣的基於裝置的登陸技術,除去一些極端情況,比如說對個人的賬號做一些重大的改變,人們將不再需要那些強密碼。
不過Google要想推動這項“解放密碼”的計劃,他們首先需要其他網站也加入到他們的陣營之中。“其他公司也嘗試過類似的技術但是在客戶中並沒有得到太多好的反響”,他們寫道。“儘管我們意識到在我們證明新的技術能被大範圍接受以前,我們的初衷看上去有一些可疑,但我們仍然十分渴望與其他網站一道測試這項技術。”
因此,他們開發了一套尚未命名的基於裝置的認證協議,而且這項協議是獨立於Google的。除去支援登陸標準的網頁瀏覽器外,這項協議並不需要任何特別的軟體,而這也防止了使用這項技術的網站對於使用者的跟蹤。
關於這項Google的新技術的一個好訊息是它終於擺脫了一種非常常見的、連現在Google自己的行動電話認證系統都無法避免的攻擊方式:釣魚。
兩年以前,Google引入了一項兩步認證登陸系統,這個系統使得犯罪分子更加難以侵入到你的賬號之中。在這個系統中,每當使用者嘗試從一臺新的電腦登陸他們的賬號,Google通常都會通過簡訊給使用者傳送一個認證碼。
問題在於,如果犯罪分子們能夠使你相信你在訪問Gmail儘管你事實上並沒有,那麼他們就可能誘導你輸入你的認證碼。實際上,這些犯罪分子甚至可以將這個兩步認證過程的漏洞嫁禍給其他無辜的使用者。有的時候,他們會將他們自己的電話號碼加入的賬號中以“拖延賬號真正的主人發現蹊蹺的時間”,文中提到。
那麼你又能怎麼辦呢?好吧,你還是在用著這套兩步認證系統。它並非完美,不過它好過單純的密碼。
好訊息是人們真的在用它——為此我們大概要感謝Mat Honan。 Honan的遭遇促使了很多人通過將Gmail賬號繫結到他們的手機來保護資訊的安全。
“Mat在連線上發表文章的兩天之內,二十五萬人加入了我們的兩步認證”,Grosse說道。他沒法明確地說通常一天會有多少人登記加入,不過他表示“比這可要少太多了”。
每個人都需要使用使用者名稱和密碼來登陸像Gmail一樣的由Google提供的服務,但是有了Google的兩步認證,當你從一臺不常用的電腦登陸時,你將在手機上收到一個六位認證碼,只有當你輸入了這個認證碼後,你才能登陸。
Honan說如果當初他在Gmail中使用了兩步認證的話,整個這件事情大概也不會變得這麼嚴重。不過在傳送垃圾郵件的人和詐騙的人收手之前,我們仍然需要那枚Google戒指。