记各种账号密码一直是数字生活中非常让人头疼的一件事。特别是早年经历过天涯、CSDN账号被拖库泄露后,为了避免撞库的风险,我花了很长时间更改其他账户的密码,然后开始研究账户密码安全。究竟什么样设置,才能让密码的安全性更高呢?下面给大家介绍下。
得到的结果如下:
1.8位以上
2.同时包含字母、数字和标点,字母最好同时包含大小写
3.不同网站设置不同密码
4.支持两步验证的网站开启两步验证
为了做到上述几点,我绞尽脑汁,不同网站设置不同复杂的密码,但最终还是没有坚持下来。虽然密码越复杂越安全,但是相对人脑却越难记,随着新账号密码的不断增加,这种困难程度开始呈现指数级增长。
直到三年前,我开始用1password密码管理软件来管理我的所有密码,这才算缓解了我密码安全这方面的焦虑。
所以,密码管理软件是解决账号密码安全的终极解决方案?
答案,是否定的。Apple最近推广的「通行密钥」账户登录验证方案则可以完全丢弃密码,这么颠覆性的办法是真的吗?
起源
其实,早在2012年,PayPal和联想两位带头大哥就创办了一个叫「FIDO联盟」的非营利性组织,该组织旨在”消灭密码”,哦,不,是为了“解决强身份认证设备之间缺乏可互操作性的问题,以及用户面临的设立、记忆多组用户名和密码的难题”。
随后,「FIDO联盟」和「W3C万维网联盟」一起推出了基于“公开密钥密码学”理论的通用无密码登录标准,也就是「通行密钥」(Passkey)。
不过,这个认证方案是以具有能本地连接到登录设备的生物认证器(指纹识别、面容识别、声音识别等硬件)为前提的。
“公开密钥密码学”是一个比较成熟的密码学演算法,暂时不多说。
而类似“银行U盾”的生物认证器硬件在早些年可不多见,所以大家在日常生活中几乎都没有听过到「通行密钥」。
但随着最近几年微软、谷歌和苹果这几个科技巨头相继加入这个联盟,它们出厂的Windows PC、Mac、iPhone和安卓手机也越来越多原生就支持指纹识别和人脸识别,这为它们今年宣布将联合推广无密码登录技术「通行密钥」打下了硬件基础。
在上个月召开的WWDC2022(苹果开发者大会)上,苹果就率先在系统和软件层面提供了对「通行密钥」的支持,并建议macOS和iOS的应用程序开发者开始适配新的登录方式,为用户提供一种简单又安全的方式,让用户无需输入密码就能通过各种平台登录 App 和网站。
讲了这么多,「通行密钥」的普及对我们普通用户究竟有什么影响呢?
通行密钥的世界
以前,我们登录一个两步验证的网站,需要三步:
1.打开网站的登录页面。
2.苦思冥想输入账号密码。
3.拿出手机,输入手机收到的验证码,点击继续登录。
「通行密钥」普及后,只需要打开登录网站或App输入账户,按指纹解锁或面容解锁,即可登录账户。看下图的演示,感觉是不是轻松很多?
我们再也不用苦恼如何想出一个复杂难记的密码了。因为Mac、iPhone等设备在注册账户时,通过面容 ID 或触控 ID认证成功过后,会自动帮助我们针对不同网站生成独特的、加密性强的「通行密钥」。
我们再也不用记那么多密码了。因为「通行密钥」在创建后会自动存储到设备的钥匙串中,同时上传到iCloud。
想要把账户分享给好基友登录?打开钥匙串,选择对应网站的「通行密钥」,点击右上角分享,即可通过Airdrop分享给好基友。
看到这,有同学可能会问了,使用通行密钥登录账号和现有的密码自动填充登录好像流程差不多,除了少了密码输入框,两者还有啥区别吗?
其实密码和通行密钥的身份验证原理完全不一样,让我们继续往下看。
怎么证明你就是你?
「密码登录」,作为认证核心的「密码」,会在你输入后被进行一定算法处理(加盐哈希等),然后送到网站服务器进行存储校验。 密码是证明你就是你的唯一钥匙。无论是黑客从你或者网站那里窃取它,他们就可以完全冒充你登录网站。
而「通行密钥」呢?前面讲过,它是基于“公开密钥密码学”(即“非对称式加密学”)理论来设计的。
下面我会解释一下基本原理,不要怕,我会用简单生活化的语言来阐述,一定能听懂。
这个理论中存在两把配对的钥匙,一把“私钥”,一把“公钥”。顾名思义,“私钥”就是你自己私自拥有的钥匙,藏在家里;而“公钥”就是公开的钥匙,可以复制送给任何人。
如果你对一个箱子用私钥上锁后,只能用配对的公钥解锁;同样对箱子公钥上锁后,也只能用配对的私钥解锁。
在数字领域,这两把钥匙实际是由一长串比密码长很多的字节数据组成,几乎不能被暴力破解。
整个注册和登录过程,网站只拥有公钥,就能验证你拥有正确的私钥,而不需要知道私钥具体是什么。
对于黑客来说,攻击网站存储的公钥数据库也就没什么太大的价值了。而网络钓鱼,这种最常见的泄露密码的网络攻击也将起不到任何作用。
对于你而言,也只是操作上少了输入密码,改成了面容或指纹识别,用户体验超级简单,并且可以随时随地使用。
跨设备验证
苹果在WWDC22上还演示了一种情况,假如登录网站的电脑不支持触控ID咋办?没事,还可以用你手里头的iPhone扫码然后人脸识别登录。
这看着和用iPhone微信扫描登录Mac微信很像嘛?但背后的技术也完全不同,「通行密钥」的跨设备验证技术能够防止黑客将二维码通过邮件等形式远程发送给用户钓鱼扫码登录。这又是怎么做到的呢?
跨设备验证原理
WWDC的「Meet Passkeys」给出了说明解释:这里有两个设备,客户端也就是你登录的电脑,以及身份验证器,也就是拥有我的通行密钥的iPhone。
首先,电脑显示一个二维码 ,iPhone扫描二维码。此二维码包含一个 URL,它编码了一对一次性使用的加密通行密钥。
然后,iPhone生成一个包含网络中继服务器路由信息的蓝牙广告。这种本地交换允许选择服务器和共享路由信息。但也有两个额外的功能:它执行一个服务器看不到的带外通行密钥协议,因此网络上的 所有内容都是端到端加密的,服务器无法读取任何内容。它还有力地证明了这两种设备在物理上是接近的,这意味着通过电子邮件发送的二维码或在虚假网站上生成的二维码将无法工作,因为远程攻击者将无法接收到蓝牙广告并完成本地交换。
接着,两台设备连接到由手机选择的中继服务器, 然后执行一个标准的 FIDO CTAP 操作,这是使用前面的通行密钥加密的,所以中继服务器看不到任何进行中的过程。
整个跨设备验证是由设备和网页浏览器执行,网站在任何时候都不涉及这个过程。
未来
看起来,未来「通行密钥」真的能够让我们完全丢掉记密码的烦恼,创造一个完全没有密码的世界。
但是,现在想要创造这种美好的世界还面临很多问题:
虽然苹果、微软等公司会抛出「通行密钥」的软件开发API,但是要支持这种登录方案,还需要所有网站后台都遵循「通行密钥」的服务器标准。而这是有新的开发成本的,网站开发者不一定会有动力投入资金和精力去做。
「通行密钥」登录必须有生物认证的硬件设备支持,硬件没有完全普及的情况下,网站和App开发者就要同时维护密码和通行密钥两种登录方式来进行过渡,这又增加了维护成本。
如果因为指纹损毁无法识别了,或者保存「通行密钥」的设备丢了,想要登录账户该怎么办呢?这也是网站和App开发者需要考虑的问题,需要想办法提供备用认证方案。
还有新设备的迁移问题,比如之前用iPhone注册账户,「通行密钥」存在iPhone上,后来想用新买的安卓手机登录,而这时身边已经没有老的iPhone来扫码登录了怎么办?
这些问题都需要系统平台方和软件开发者共同去思考,做出各自的努力,才有可能妥善解决。所以说,没有密码的世界还有很长的路要走。对此,你有什么看法吗?欢迎 在评论区下想法哦!
本文来自投稿,不代表科技讯立场,如若转载,请注明出处:https://www.kejixun.com/article/588421.html
