[关闭]
@liuhui0803 2016-03-31T05:01:09.000000Z 字数 1891 阅读 1998

密码之殇:什么技术可以取代密码?

未分类


作者:Hitoshi Kokumai
译者:大愚若智
原文链接http://cloudtweaks.com/2016/03/technology-displace-password/

未来的密码

很多人称,密码已死,或应当被“杀死”。然而,只有在出现替代品后,密码才“该死”。想想看到底什么技术才能取代密码吧。

很多人可能会说,多因素身份验证 (Multi-factor authentication) 或ID联合(ID federation)有望取代密码。然而却很难让人相信密码能被这些技术取代,毕竟对于多因素身份验证架构,密码本身就是其中的一种“因素”,而ID联合则需要一个可靠的密码作为主密码。

有些人可能会说:“彻底不使用任何密码,这足以‘杀死’密码。”是的,必须承认,这样做确实能让密码彻底“灭绝”,但是在一个没有密码的网络世界里,最大的受益者是罪犯,而非我们。如果我们所居住的世界不需要记住任何密码,例如我们身份的建立不需要意志的参与,那恐怕只有独自一人身处牢牢锁住的房间时,我们才能安枕无忧。这是罪犯们的乌托邦,但 对我们来说只能是反乌托邦

此处输入图片的描述

(图片来源:Shutterstock

有些人可能会说:“PIN码可以(取代密码)。”然而这种看法只能引领我们进入爱丽丝的仙境。如果PIN码这种仅包含数字的弱密码可以取代密码,是不是小狗崽可以取代大狗?小猫咪取代猫?幼狮取代狮子?

很多人还会说:“生物验证可以(取代密码)。”这种看法则会引领我们进入爱丽丝的另一个仙境。为避免被错误拒绝,网络空间中所用的生物验证解决方案也需要注册一个密码(备用密码)。如果“某个东西”需要依赖“其他东西”才能取代“其他东西”,那么你在走路的时候是不是也可以用脚取代腿?爱丽丝仙境里也许可以这样做,但我实在很难设想在4维时空的宇宙里这样做到底是什么样。

有很多人理所当然地认为,只要整个网络世界配合使用一套生物验证机制和同一个备用密码,就可以取代目前我们使用的各种密码。这种错误的认识到底是怎么产生的?

我们思维中的盲点

让我们设想一下,我们面前有两个型号的智能手机 – 型号A使用了PIN码型号B使用了PIN码和指纹扫描。你觉得这两个型号的手机哪个更安全?

面对上述三种情况,你的结论一致吗?

大开眼界的经验

让我们再设想一下,有两间房子 –(1)只有一个入口,而(2)并排设置了两个入口。面对窃贼,哪个房子更安全?我们每个人都会认为答案很明显,(1)更安全。没人敢说(2)因为受到两个入口的保护,所以更安全。同理,单独使用PIN码或密码进行登录,无疑要比使用带有备用密码/密码的生物识别传感器登录更为安全。

Apple和FBI之间有关后门的争议

近日有关智能手机后门的激烈争议中,Apple和FBI的所作所为吸引了全球用户的关注,然而有一个重要问题被大家忽略了。

此处输入图片的描述

我想说的是,其实很多最新款智能手机中已经存在后门,换句话说,指纹扫描仪或一系列用于捕获面孔、虹膜,以及其他身体特征的摄像头和软件,可以轻松地从清醒的、睡着的、昏迷的,甚至死去的人身上收集这些信息。

随着生物感应技术的持续进步,以及这些技术的大肆普及和运用,体温、活动、脉搏,甚至脑波,这些也许均不能幸免。在法庭取证和人身安全方面,生物特征识别是一种好技术,但在网络空间的身份保障方面距离实用还很远。

建议

如上文所述,大部分情况下,在网络环境中通过生物特征进行的身份验证,这种做法的安全性远远低于只使用PIN码或密码的身份验证机制。毕竟虚假的安全感通常要比缺乏安全性更为糟糕。对此我的建议如下。

(访问Hitoshi的LinkedIn页面,以了解有关本文的详细信息并继续展开讨论。你也可以访问CloudTweaks查看Hitoshi后续发布的内容)

此处输入图片的描述

关于Hitoshi Kokumai

Mnemonic Security, Inc.公司总裁。Hitoshi在网络安全的研究和写作方面有多年经验。你可以在很多领先的在线技术网站看到他的作品。

添加新批注
在作者公开此批注前,只有你和作者可见。
回复批注