BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

密码之殇:什么技术可以取代密码?

| 作者 Hitoshi Kokumai 关注 0 他的粉丝 ,译者 大愚若智 关注 9 他的粉丝 发布于 2016年5月18日. 估计阅读时间: 5 分钟 | Google、Facebook、Pinterest、阿里、腾讯 等顶尖技术团队的上百个可供参考的架构实例!

未来的密码

很多人称,密码已死,或应当被“杀死”。然而,只有在出现替代品后,密码才“该死”。想想看到底什么技术才能取代密码吧。

很多人可能会说,多因素身份验证 (Multi-factor authentication) 或ID联合(ID federation)有望取代密码。然而却很难让人相信密码能被这些技术取代,毕竟对于多因素身份验证架构,密码本身就是其中的一种“因素”,而ID联合则需要一个可靠的密码作为主密码。

有些人可能会说:“彻底不使用任何密码,这足以‘杀死’密码。”是的,必须承认,这样做确实能让密码彻底“灭绝”,但是在一个没有密码的网络世界里,最大的受益者是罪犯,而非我们。如果我们所居住的世界不需要记住任何密码,例如我们身份的建立不需要意志的参与,那恐怕只有独自一人身处牢牢锁住的房间时,我们才能安枕无忧。这是罪犯们的乌托邦,但 对我们来说只能是反乌托邦

(图片来源:Shutterstock

有些人可能会说:“PIN码可以(取代密码)。”然而这种看法只能引领我们进入爱丽丝的仙境。如果PIN码这种仅包含数字的弱密码可以取代密码,是不是小狗崽可以取代大狗?小猫咪取代猫?幼狮取代狮子?

很多人还会说:“生物验证可以(取代密码)。”这种看法则会引领我们进入爱丽丝的另一个仙境。为避免被错误拒绝,网络空间中所用的生物验证解决方案也需要注册一个密码(备用密码)。如果“某个东西”需要依赖“其他东西”才能取代“其他东西”,那么你在走路的时候是不是也可以用脚取代腿?爱丽丝仙境里也许可以这样做,但我实在很难设想在4维时空的宇宙里这样做到底是什么样。

有很多人理所当然地认为,只要整个网络世界配合使用一套生物验证机制和同一个备用密码,就可以取代目前我们使用的各种密码。这种错误的认识到底是怎么产生的?

我们思维中的盲点

让我们设想一下,我们面前有两个型号的智能手机 – 型号A使用了PIN码型号B使用了PIN码和指纹扫描。你觉得这两个型号的手机哪个更安全?

  • 如果你发现型号A只使用PIN码进行保护,而型号B同时使用PIN码和指纹进行保护
  • 如果你发现型号A只能使用PIN码解锁,而型号B可以同时使用PIN码和指纹解锁
  • 如果你发现型号A只能通过PIN码进行攻击,而型号B可以同时通过PIN码和指纹进行攻击

面对上述三种情况,你的结论一致吗?

大开眼界的经验

让我们再设想一下,有两间房子 –(1)只有一个入口,而(2)并排设置了两个入口。面对窃贼,哪个房子更安全?我们每个人都会认为答案很明显,(1)更安全。没人敢说(2)因为受到两个入口的保护,所以更安全。同理,单独使用PIN码或密码进行登录,无疑要比使用带有备用密码/密码的生物识别传感器登录更为安全。

Apple和FBI之间有关后门的争议

近日有关智能手机后门的激烈争议中,Apple和FBI的所作所为吸引了全球用户的关注,然而有一个重要问题被大家忽略了。

我想说的是,其实很多最新款智能手机中已经存在后门,换句话说,指纹扫描仪或一系列用于捕获面孔、虹膜,以及其他身体特征的摄像头和软件,可以轻松地从清醒的、睡着的、昏迷的,甚至死去的人身上收集这些信息。

随着生物感应技术的持续进步,以及这些技术的大肆普及和运用,体温、活动、脉搏,甚至脑波,这些也许均不能幸免。在法庭取证和人身安全方面,生物特征识别是一种好技术,但在网络空间的身份保障方面距离实用还很远。

建议

如上文所述,大部分情况下,在网络环境中通过生物特征进行的身份验证,这种做法的安全性远远低于只使用PIN码或密码的身份验证机制。毕竟虚假的安全感通常要比缺乏安全性更为糟糕。对此我的建议如下。

  • 对于这些智能设备的供应商,如果重视消费者的隐私和安全,需要告诉消费者不要打开生物验证功能。
  • 对于消费者,如果担心自己的隐私和安全,需要避免激活如同后门般的生物验证功能。
  • 生物验证解决方案的部署只能作为一种“推荐”,消费者可以接受“低于一种”因素的身份验证,以此为代价获得更高便利性。

(访问Hitoshi的LinkedIn页面,以了解有关本文的详细信息并继续展开讨论。你也可以访问CloudTweaks查看Hitoshi后续发布的内容)

关于Hitoshi Kokumai

Mnemonic Security, Inc.公司总裁。Hitoshi在网络安全的研究和写作方面有多年经验。你可以在很多领先的在线技术网站看到他的作品。


感谢陈兴璐对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ@丁晓昀),微信(微信号:InfoQChina)关注我们。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT