“无密码”是时下网络安全的热门话题,也是每个企业的终极安全目标。
在当前的互联网平台前,每一个平台应用的使用,都基于一组账户和对应复杂密码的设置,当然,用户有权在不同平台下设置相同账号密码,但其账号就要承担巨大的安全风险。
不管从合规角度,还是业务安全出发,这种做法都是不可取的。
你能想象有一天访问各种应用时,只需要使用去中心化数据客户端扫码并输入客户端密码就可以通过去中心化身份进行登录吗?甚至无需再输入复杂密码就能实现各个平台的登录和切换,对于经常忘记密码的用户可以说是十分省心了。
其实当下无密码验证已经被广泛应用了,目前微软就宣布正式进入完全无密码,允许Windows用户用几种替代登录技术中的一种替换他们的字母数字密码以进入微软产品,这一举措得到了业内人士的积极响应。
只是,我们看到了无密码登录的好处,相较密码验证,它们真的更安全吗?
计算机密码自1960 年代就已存在,但在数字化高度发展的今天,传统的密码口令不管从安全还是便利角度,早已不能满足用户需求了。
而无密码设想从概念提出,到如今模型雏形的落地,让我们看到了科技的巨大跨步,在上一篇中,我们提到的通行密钥,就是无密码技术的落地体现。
虽然如此,但目前传统密码的使用仍是主流。无密码(passwordless)技术作为一种新兴的安全技术和身份认证手段,正成为许多企业和安全厂商研究和推广的重点。
要使用无密码身份验证登录帐户,就需要使用到某种非传统密码的验证方式。
一些非密码验证方式其实在生活中已经有所普及,典型的例子就是面部识别、指纹识别、短信验证等。
无密码身份验证模型的思路很简单。用户无需输入由用户名或电子邮件地址以及密码组成的凭据,而是使用另一种方法来验证身份信息,常见的无密码身份验证包括:
生物识别:生物识别登录已经在智能手机和其他设备中使用,由唯一的生物识别符(例如指纹)组成。然而,在生物特征技术改进之前,除非与其他选项结合,否则这可能不是最安全的选择。
电子邮件:输入电子邮件地址后,就会向该用户发送一封包含验证链接的电子邮件。单击链接完成身份验证并允许访问。
令牌或一次性代码:用户会收到令牌或代码,然后输入网站或应用程序,而不是链接。该代码将附加到会话期间执行的所有操作中,并在用户实时交互时解密,然后在会话终止时销毁该代码。
同传统的密码口令相比较,无密码验证方式在安全性和便捷性上都要远高于传统复杂密码口令。
从安全层面上说,用户无需在线存储密码,即便黑客入侵用户计算机,也无法轻易进入用户账户,甚至在日常办公场景下,上锁的设备在脱离视线范围之后,用户也无需为信息泄露而担忧。
在工作场景中,不同平台的使用和切换在无密码技术的加持之下,也会大大提高效率。
有调查数据显示,全球员工平均每年花费11个小时输入或重置密码。对于员工数成千上万的大企业,这直接导致生产力损失超多百万美元。
因此,无密码技术作为一种新兴的安全技术和身份认证手段,不仅能大大加强安全问题,也能很大程度上提高用户体验。
无密码登录的问题
实现跨设备、多操作系统、跨浏览器以及生物特征认证方式的支持,无密码验证看似科技满满,从安全性和体验的角度来看,无密码验证还是存在一些限制。
首先,从当下最为普及的指纹和人脸识别技术来看,TouchID 和 FaceID多年来一直被成功入侵,况且人脸、指纹数据作为独一无二的身份信息,其外泄带来的风险远大于普通账户密码泄露带来的风险。
其次,部分无密码技术将授权存储在云中,基于这种方式下,用户即便更换手机也依旧可以无障碍的登录所有账户。但这种做法的风险是,当云平台被黑客入侵,那么他们将获得授权,用户所有的账户信息容易遭到泄露。
同时,对于企业来说,启用无密码验证,就意味着需要向一些提供技术的厂商打开大门,交出用户私密信息。并且,由于无密码验证是依赖于第三方提供商,如果其中第三方一台服务器出现故障,则在问题解决之前用户可能无法访问帐户。
在传统密码口令场景里,重设密码虽然烦人,但在某些情况下这样做可能更方便。而使用无密码登录,用户必须确保用于验证账户的信息同步更新,比如绑定某账户的手机号和邮箱要同步保持更新。
对大多数网站而言,基于无密码技术的身份验证方法代表着安全的进步:用户无需再想新的密码,也不存在用户重用密码的风险。对于用户,无密码验证提供了一种相当简单的身份验证解决方案。
当前无密码技术尚处于不断摸索和完善过程中,许多方面也存在一些争议,但业界很多人对此保持乐观。
全面无密码登录的科技时代也许有一天会到来,但是要等到信息不被窃取的那一天恐怕遥遥无期。从安全角度上看,依赖任何单一因素进行身份验证,无论是否使用密码,总是存在一定程度的风险。
其实从过往的众多数据泄露事件中不难看出,最薄弱的环节往往不在机器之间的验证和信任,不在算法与加密的漏洞,更多是在人身上,很多用户其本身的安全意识就有待提高。
所以不管从技术层面还是人为因素,社会要真正意义上实现无密码之路,还是任重道远啊。