硬件安全密钥为密码增加了新的安全性可以完全替换它们

硬件安全密钥为密码增加了新的安全性,可以完全替换它们。

他们很难记住,黑客利用他们的弱点和修复往往带来他们自己的问题。 Dashlane、Last Pass、1Password和其他密码管理器为您拥有的每个帐户生成强大和唯一的密码,但软件非常复杂。 来自谷歌、Facebook和苹果的服务允许您在其他网站上使用您的密码为他们的服务,但您必须给他们更多的权力,在您的生活在线。 双因素身份验证,每次登录时需要通过短信发送第二个密码或从一个特殊应用程序中检索,大大提高了安全性,但仍然可以被击败。

然而,一个大的改变可以完全消除密码。 这项名为FIDO的技术将登录过程进行了检修,并将您的手机、人脸和指纹识别以及称为硬件安全密钥的新设备结合起来。 如果它能兑现承诺,FIDO将会制造出像“123456”这样的旧密码。

“密码是你知道的。 设备是你拥有的东西。 安全汽车公司的首席安全架构师Stephen Cox说:“生物识别技术就是你的特点。 “我们正在转向你拥有的东西和你拥有的东西。”

这周,CNET正在查看更改,这将帮助我们摆脱密码问题。 这种改变是一种巨大的努力,每次你查看电子邮件、转账或登录到雇主的网络都会影响到你。 我们研究了无需密码的认证方法,双因素认证的缺点,密码管理器的好处。 我们提供一些更新的密码选择建议,因为更深入的密码改进将需要几年的时间。 最后,我的同事ScottStein分享了一个关于密码管理器可能出错的警告故事。

阅读更多:2020年最佳密码管理器

至少从20世纪60年代起,计算机密码就一直充满了。 麻省理工学院的研究人员艾伦·谢尔(Allan Scherr)把其他研究人员的密码找出来,这样他就可以利用他们的账户为自己的项目继续“窃取机器时间”。 在20世纪80年代,加州大学伯克利分校天体物理学家Clifford Stohl跟踪了一名德国黑客跨越政府和军事计算机而不安全,因为管理员没有更改默认密码。

密码的性质促使我们懒惰。 长而复杂的密码,最安全的密码,是我们最难创建、记住和键入的密码。 我们中的很多人都不愿意回收它们。

这是一个巨大的问题,因为黑客已经拥有了我们的许多密码。 “我已被破解”服务包括5.55亿个因数据泄露而暴露的密码。 黑客通过“凭证填充”自动攻击,尝试一长串被盗用户名和密码来找到有用的。

快速身份在线,更称为FIDO,解决了这些问题。 它规范了用于身份验证的硬件设备(如安全密钥)的使用。 尤比科、谷歌、微软、PayPal和NokNok实验室等公司正在开发FIDO。

安全钥匙是房屋钥匙的数字等价物。 您可以将它们插入USB或闪电端口,允许单个数字安全密钥与许多网站和应用程序安全地工作。 该密钥可以与像苹果的Face ID或WindowsHello这样的生物认证相吻合。 一些钥匙可以无线使用。

FIDO还允许站点和服务完全替换密码,这一改变可以使您的登录生活更轻松,即使它使黑客攻击更加困难。

粉丝们有足够的信心对它的传播做出大胆的预测。 FIDO联盟(FIDO Alliance)执行董事Andrew Shikiar表示:“在未来五年内,每个主要的消费者互联网服务都将有一个无密码的选择。 “其中大部分将使用FIDO。”

因为它只适用于合法网站,FIDO停止网络钓鱼,这是一种安全攻击,黑客使用欺诈性电子邮件和虚假网站欺骗你放弃你的登录信息。 FIDO还减轻了公司对灾难性数据泄露的担忧,特别是敏感的客户信息,如账户凭证。 盗取的密码不足以让黑客使用来登录,如果FIDO被捕获,公司可能不需要从密码开始。

这里有一种方法,基于FIDO的登录工作没有密码。 您将使用笔记本电脑访问网站登录页面,键入用户名,插入安全键,点击按钮,然后使用笔记本电脑的生物认证,如苹果的TouchID或WindowsHello。

方便的是,你也可以使用你的手机作为安全钥匙。 输入您的用户名,在您的手机上得到提示,解锁它,然后批准自己与它的生物鉴别系统。 如果你在使用你的笔记本电脑,手机通过蓝牙通讯。

FIDO支持多因素身份验证提供的保护,这要求您至少以两种方式证明您的登录凭据。

您与FIDO的第一次相遇看起来不会比双因素身份验证有太大的不同。 您将首先键入常规密码,然后插入或无线连接FIDO硬件安全密钥。

别忘了知道。 每个工作日从CNET新闻获得最新的科技报道。

这个过程仍然使用密码,但它比单独的密码或由短信发送的代码或从像Google Authenticator这样的验证器中检索的密码更安全。 这种方法——密码加安全密钥——就是如何在Google、Dropbox、Facebook、Twitter和Microsoft服务(如Outlook.com和Windows)上使用FIDO。

“硬件安全密钥非常非常安全,”Okta认证服务公司的首席产品官Diya Jolly说。 这就是为什么国会竞选,加拿大政府的计算服务部门和所有谷歌员工都使用它们的原因..

今天的消费者服务通常要求你只在第一次登录新的个人电脑或电话时,或者当你采取特别敏感的行动,如从你的银行帐户转移资金或更改密码时,才插入钥匙。 当然,如果您在需要时没有现成的安全密钥,那么安全密钥可能是一个麻烦。

今天出售的安全密钥包括Yubico的Yubikeys和Google的Titan。 基本型号的成本$20,但如果你想要支持USB-C或闪电端口或无线通信,你将花费40$以上。 像Ensurity的Thin C、e WBM的Goldengate G320和飞天的Bio Pass这样的先进型号都内置了指纹阅读器,Yubico也正在开发这一功能。

尤比科是安全钥匙的主要销售商之一。 这个基本的Yubi键模型插入USB端口。 你必须触摸按钮,以显示你真的在使用它。

你应该买至少两把钥匙,以防你丢失,打破或忘记你的主钥匙。 在大多数服务中,您可以注册多个密钥,这样您就可以将一个密钥留在家里或保险箱中。

谷歌在2019年将FIDO关键技术直接引入Android,并在1月份对其iPhone软件进行了同样的操作。 这可以让你登录到你的笔记本电脑上的谷歌帐户,提示显示在你的手机上,只要它在你的笔记本电脑的蓝牙范围内。 预期这种方法会传播到谷歌以外。

网站和浏览器通过Web Authn功能获得FIDO认证。 FIDO内置在Android中,所以应用程序也可以使用它,苹果刚刚加入了FIDO联盟,这对FIDO在iPhone应用程序中的支持是一个好兆头。

微软也是主要的支持者。 它通过为Outlook、Office、Skype、XboxLive和其他在线服务提供无密码登录,超越了谷歌。 您需要一个与WindowsHello人脸识别技术或指纹ID相结合的硬件密钥;一个与PIN代码相结合的硬件密钥;或者一个运行微软Authenticator应用程序的电话。

FIDO使用公钥密码技术,几十年来一直在线保护信用卡号码。 这种方法的一大优点是,FIDO安全设备——无论是硬件安全密钥还是作为一个安全密钥的手机——都不能与伪造的网站一起工作,这是黑客在网络钓鱼时设置的一个常见陷阱。 与人们不同的是,他们通常不会注意到一个精心设计的虚假网站,安全密钥只注册到一个合法的网站。

Google认证工作的领导者Mark Risher在一篇博客文章中写道:“使用安全密钥,而不是用户需要验证网站,网站必须向密钥证明自己。” 谷歌将数万名员工转移到安全密钥后,成功的网络钓鱼尝试下降到零。

没有密码也意味着黑客窃取的敏感数据减少。 这对IT管理员来说是音乐。 Secure Auth的Cox说,对于FIDO,公司不再拥有“被盗凭证的中央数据库”。

坏消息来了。 移动到我们没有密码的未来并不容易。 我们都习惯了密码,我们对密码的工作方式或多或少感到舒服。 我们都有自己的方法来保持分类。

设置安全密钥比选择密码要困难。 这是复杂的,因为不同的网站使用不同的程序注册和使用安全密钥。 例如,Twitter今天只允许您使用一个硬件安全密钥,这意味着备份密钥不会工作。

Yubico的首席解决方案官员Jerrod Chong说:“注册是一个可怕的问题。”Yubico是一家12岁的公司,生产安全密钥,是FIDO联盟的重要成员。 不过,他预计招生人数会有所提高。 (事实上,在我这样做的一年里,使用安全密钥变得更加顺畅。)

把你拥有的账户数乘以你拥有的密钥数,你就会感觉到你面临的密钥管理麻烦。 硬件安全钥匙也会坏或被偷,蓝牙钥匙也会耗尽电池。

大多数人都熟悉密码。 他们从小就喜欢这样。 Forrester安全分析师Chase Cunningham说。 “从消费者的角度来看,我们可能需要五到七年的时间才能将密码杀死。”

在公司内部,硬件安全密钥不会轻易出售。 他们花钱,员工失去或忘记他们,也许最重要的是,他们只是不同于人们习惯的。 见鬼,大多数人甚至不启用双因素身份验证,尽管这将极大地提高他们的安全性。

“用户名和密码仍然是最普遍的选择,”CTO和Auth0的联合创始人Matias Woloski说. “没有人愿意为不提供这一选择而努力。”

然而,重要的是要权衡安全密钥的问题和我们已经面临的密码问题。

硬件安全密钥阻止了密码启用的大规模网络犯罪。 重置被遗忘的密码的机制很昂贵,可以被窃取账户的黑客利用。 让我们面对现实吧,要记住你使用的所有站点的强大的、独特的密码是不可能的。

Okta的产品副总裁Joe Diamond说,由FIDO驱动的安全密钥和手机,然后再加上无密码登录,将从根本上改善薄弱的安全。 “这显然是未来。”

CNET的工作人员作家Alfred Ng对此报告作出了贡献。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。