無密碼世界的來臨

安全劍客發表於2019-11-24
無密碼身份驗證的主要挑戰是建立一個不依賴密碼的數字身份,用來證明使用者是其聲稱的人,並作為使用者在數字世界中身份的信任基礎,就好像現實世界中的護照或駕駛證。沒有密碼的未來可不僅僅是採納標準和選擇身份驗證方法就能達到的。

無密碼世界的來臨無密碼世界的來臨
未來世界將不再需要密碼:隨著無密碼標準進一步牢固確立,無密碼身份驗證方法數量與複雜度劇增,越來越多的人無可避免地得出了這一結論。而在我們即將進入無密碼未來的時候,最好記得,無密碼世界可不僅僅是各種標準和身份驗證方法。我們還需要考慮很多挑戰。比如說,在不使用密碼的世界裡,你如何證明憑證註冊的身份?如何恢復遺失的憑證?或許最重要的一個考慮是,怎麼才能不重複製造某些導致密碼消亡的問題就解決掉這些挑戰,比如使用者不便、幫助臺負擔和密碼重置相關開銷。我們必須注意避免陷入用另一種同樣繁瑣的方法代替密碼重置的怪圈。現在說我們明確知道將會以有效方式解決所有這些問題還為時過早。但卻是時候開始探討了。

在無密碼世界中定義身份有何意義?

無密碼身份驗證的主要挑戰是建立一個不依賴密碼的數字身份,用來證明使用者是其聲稱的人,並作為使用者在數字世界中身份的信任基礎,就好像現實世界中的護照或駕駛證。

當然,目前已經有身份驗證方法無需使用者在驗證時輸入密碼了——生物特徵識別(如人臉識別和指紋 ID)、基於令牌的身份驗證等等。但密碼仍被用作很多此類方法的底層身份驗證方法。如果想要消除密碼,那使用者一開始要靠什麼安全方法證明身份來獲得該無密碼憑證呢?我們需繼續開發新方法來建立最初的信任,授予使用者真正安全的無密碼憑證。

使用者需要恢復憑證時會發生什麼狀況?

說到當今在用的生物特徵識別、令牌和其他無密碼身份驗證方法,我們常常忽略了密碼仍是使用者身份驗證和憑證恢復的底層機制這一事實。手機丟了的時候,重新設定該手機所有相關應用和賬戶的超先進人臉識別生物特徵憑證,竟然只需要一組使用者名稱和密碼,真是令人困惑和沮喪。這種情況下,只要掌握了使用者的使用者名稱和密碼,難道不是誰都能用自己的臉重設生物特徵識別憑證來訪問該使用者賬戶了嗎?關鍵在於,當今任一形式的強身份驗證最終都只是密碼的一個外在表現,事實上並不比該方法底層的密碼更強或更安全。

我們認為的 “無密碼” 其實並非真正的無密碼;這一系統仍根源於相當容易盜取並用於冒充使用者的東西。若你忘了自己的使用者名稱和密碼,恢復機制也相當容易破解,只要能查出你媽媽的孃家姓(你表兄弟開設的 “隱私” 家庭歷史網站上就有),或者找到你第一輛車的型號(你驕傲地發在社交媒體上的一張照片就行)。

面對現實:每個數字身份似乎都有一系列比該身份驗證方法本身更弱的憑證恢復機制。帶人臉識別功能的手機丟了?沒問題,輸入密碼照樣能解鎖。不記得密碼了?告訴我你媽媽的孃家姓,我們會給你重新設一個密碼的。遺失了硬體令牌?來,提供你的活動目錄 (AD) 使用者名稱和密碼,我們會給你寄一個過去。如果無密碼世界中的身份驗證要像人們想象中的那麼安全,我們得逆向該模式,讓恢復機制比身份驗證方法本身更安全。或許將硬體令牌用作移動驗證器的恢復機制(手機丟了?用你的硬體令牌進行身份驗證。)主要挑戰可能是讓恢復機制在保持易用和實用的同時變得更安全。

此處的問題圍繞一個主題:意識的重要性。假設無密碼標準和身份驗證方法是我們建立無密碼世界所需的全部,這種想法是完全錯誤的;無視即便在這些領域裡大多數公司仍有很多工作要做的的事實,同樣是錯誤的。想想已經在帶領我們邁向無密碼世界的現有和新興解決方案就令人興奮激動,但也有必要注意到需彌補的空白和需跨越的障礙。這種情況下,瞭解所面對的挑戰,思考如何解決,就成了邁向無密碼未來的第一步。

原文地址: https://www.linuxprobe.com/passwordless-world.html

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31559985/viewspace-2665463/,如需轉載,請註明出處,否則將追究法律責任。

相關文章