文章来自于果核剥壳公众号首发:https://mp.weixin.qq.com/s/aWErubmN4yYPecWU8xof-Q
在现代互联网上冲浪,最重要的资产是什么?毫无疑问是众多网络平台下的那一个个账号,账号里面的信息与社交圈脉是现代人在信息社会下的缩影,而密码作为所有账号的钥匙,自然也是重中之重。
如今的网络平台通常是以账号密码和验证码辅助验证的方式来进行登录,这似乎已经成为了一种共识,但实际上现在的科技巨头们,并不认为这是密码的终极形态。
在最近,谷歌、苹果以及微软,都在大力提倡无密码登录!听到无密码登录,你可能会有些好奇,甚至觉得有些违反常理,密码在自己手中,想登录就登录才最安全的不是吗?事实上,在国外的一个组织:FIDO(Fast IDentity Online快速身份识别在线联盟)认为,密码身份验证恰恰是最大的安全问题之一。
在提及如何进行无密码登录的方式之前,有必要先来看看这个FIDO是什么,FIDO联盟成立于2012年7月,他们致力于构建一套开放的协议标准,用来改变目前主流的密码验证方式,加入的会员都是大公司,像是Google、BlackBerry、ARM、英特尔、PayPal、Lenovo、MasterCard、三星、VISA、Synaptics、RSA、微软。中国会员有阿里巴巴、联想、飞天诚信、支付宝等等以及中国台湾的神盾股份。
因为传统的密码登录方式存在各种问题,比如爆破用户设置的弱口令、还有获取到某个级别比较高的管理员密码之后,就可以通过权限来访问存储在数据库的其他人的密码,或者是在输入密码的时候被截取等等,这些都是真实存在的,就像是报道里经常出现的外国国家级的基础设施都存在123456类型的弱密码,雅虎等大平台密码数据被扒的事情,或者是早些年网吧里面经常有的盗号软件等等。
而不采用密码验证身份的话,就算别人拿到了你的密码,也无法登录你的账号,也就加强了安全性。其实这个也很好理解,现在的扫一扫登录、指纹识别、人脸验证、U盾、NFC芯片、语音识别、以及之前升级Windows11时需要的TPM可信赖平台模块,都是在FIDO的协议标准里面。
FIDO1.0协议分成UAF和U2F两个大类,UAF的全称为Universal Authentication Framework protocol,它是一种生物身份识别方式,包括指纹、语音、虹膜、脸部识别等信息,不用密码就能进行交易操作,大家用过支付宝等其他软件的指纹验证都懂,省去了输入密码的麻烦。UAF登录的时候也可以保留密码验证的方式,就像是去超市刷脸购物,有时候识别有风险,还会让你输入手机号是一样的。以此来提高账号的安全性。
而U2F的全称为Universal Second Factor (U2F) protocol,简单来说就是双重验证,也是让各大国外游戏玩家头疼的二次验证,除了在登录的时候使用密码,还需要一个用来绑定了信息的设备再输入一个验证码。现在这类软件被叫做登录器,像是什么软件账号登录器,谷歌Play登录器,以及各种游戏像是Steam和育碧的登录器,这样做的好处就是你的密码就算被钓鱼邮件不小心钓走了,那些人也无法登录账号,无法冒充你。对,就像是QQ安全中心里的令牌。
在FIDO1.0出来多年之后,在2018年又与W3C万维网联盟推出了FIDO2.0。
这下面又细分为WebAuthn和CTAP协议,这两个也是如今所广泛使用的,像是Chrome、Edge、Firefox都支持,更通俗一点,WebAuthn就是在使用QQ或者微信登录其他平台使用的技术,想想看,如果现在还是用密码来登录游戏,是不是会觉得有些烦人?说起来在很久以前,大家都是用密码登录游戏。
而现在,企鹅靠着强大的用户数量优势来扮演着登录器的角色,很多应用可以使用QQ或者微信登录,只是靠着背后提供登录验证的技术支持吗,其实更多的是想构建属于自己的流量体系。相对的,接入的应用也可以获取用户的关系链来完善自己的产品,这看上去像是双赢的局面,但这样的最终的目的,还是让强者更强,掌握其他应用的运营信息,知己知彼,以建立自己的玩法体系。
这也是科技巨头们为什么如此青睐无密码登录的原因,因为旗下的服务足够多,覆盖的面足够广,所以有这样的底气,谁让客户养成了无密码登录的习惯,也就意味着很大程度把用户与自己的生态绑定了。也许巨头们的技术不一定是最顶尖的,但是生态城墙的高度一定会让后来者感到巨大压力。
试想一下,在新出的网络游戏中无法使用社交平台的账号登录,还需要自己手动创建账号,导致一大堆账号需要记。而另一个游戏直接可以用社交账号登录,还可以与好友一起玩,你会选择哪一个?而WebAuthn类似的技术也是催生出了各种各样的游戏渠道服的底层逻辑。
上面说到WebAuthn之外,还有一个CTAP客户端到认证器的协议,这个也很好理解,蓝牙靠近电脑自动解锁,利用iPhone在没有指纹模组的MacBook上购买东西,用来验证与支付,用某一个设备来验证身份的好处就是不用担心网络上搞破坏的家伙了(所以现在的恶意软件都喜欢搞正大光明的勒索)。
所以说以后大家的注意力应该从网上应该放到身边的人来了?以后谁的密码被盗,账号被盗刷,第一反应就是熟人作案,具体参照:某六旬老太深夜打王者荣耀五杀的奇葩新闻,还有用家长的面部信息给主播打赏几十万的熊孩子。
全面无密码登录的科技时代也许有一天会到来,但是要等到信息不被窃取的那一天恐怕遥遥无期。就像众多密码与信息安全书籍里面说的一样,最薄弱的环节不在机器之间的验证和信任,不在算法与加密的漏洞,更多是在人身上,人为的漏洞不可避免。
计算机相关的薄弱环节不好可以换掉,但是只有人人加强自身防范意识的这道“个人防火墙”,才能保护好你的个人数据,至于那些看到桃色信息就忍不住一探究竟的人,再好的防护硬件都没用。还是...找个坑埋了吧,没法救了。
评论列表(1条)
这年头谁还吭哧吭哧爆破密码?不都是直接问账号本人要密码吗?社工这么发达