这两天有两个关于密码的消息:
- 密码管理器 Dashlane 宣布准备消除你必须记住的唯一主密码,转而使用基于设备/生物识别的无密码登录解决方案。
- Google Passkey(通行密钥)发布,使用指纹、面孔、屏锁方式或实体安全密钥安全地登录。
结合之前:
- 微软:今天砍掉了帐户密码,从此登录再也无需密码。
- 1Password Passkeys 将在 2023 年初开始支持无密码技术
- Apple:关于通行密钥的安全性 – 通行密钥是密码的一种替代形式
- iOS/iPadOS 16.3 已支持物理安全密钥
越来越多的服务开始或正在准备支持无密码技术,可以遇见的未来,密码肯定会被替代。也可以说是密码的下一代技术,让「在线密码泄漏」这件事彻底成为过去。
无密码技术是什么?
无密码技术指的是一种可以替代用户账号和密码认证方法的技术,它通过生物识别、多因素认证、基于硬件设备的认证等方法来实现身份验证和授权,以提高账号的安全性和用户体验。无密码技术的出现,可以减少由于密码泄露、用户的疏忽或恶意攻击等因素导致的安全问题。常见的无密码技术包括人脸识别、指纹识别、声纹识别、虹膜识别、生物特征识别等。
无密码技术解决了什么问题?
无密码技术解决的最核心事情,是解决了密码泄漏这件事情。当无密码技术普及之后,再也不会听说谁的密码泄漏,并因此造成了损失。
当然,肯定会有:他的密钥丢了,导致损失 😂
通用密钥是什么?
你的手机
目前的主流方案,在不增加用户成本的情况下,使用用户手机作为密钥,即在登录时,必须使用指定的手机来解锁账号,包括微软、苹果、Google 在内都支持此方案。
FIDO 设备
另一种方案,需要购买 FIDO 设备,即一个硬件设备,它可以用来验证用户身份,一般通过 USB 或 NFC 与电脑、手机相连接。一个 FIDO 设备可以绑定多个账号,对用户来说相当于一次性投入,终身使用。
但问题是它可能会丢,所以如 Google、Apple 都建议(一些情况下强制)用户准备两个 FIDO 设备,其中一个备用。如果你的两个 FIDO 都丢了,那可能账号就真的要不回来了。
所以,安全与风险始终都在博弈,就看你自己如何找到平衡了。
以下内容节选自 使用密钥进行无密码登录。
通用密钥原理
- 密钥使用公钥加密。公钥加密可以降低潜在的数据泄露威胁。当用户使用网站或应用创建密钥时,此操作会在用户设备上生成公钥-私钥对。该网站只存储公钥,但仅使用公钥对于攻击者无用。攻击者无法从服务器中存储的数据中获取用户的私钥,而这是完成身份验证所必需的。
- 由于通行密钥与网站或应用的身份绑定,因此能够抵御钓鱼式攻击。浏览器和操作系统可确保通行密钥只能用于生成通行密钥的网站或应用。这样一来,用户就不必负责登录真实的网站或应用。
与短信、动态密码的区别
只需一个步骤,密钥即可取代密码和第二重身份验证。用户体验就像自动填充密码表单一样简单。与短信或基于应用的动态密码不同,通行密钥有助于防范钓鱼式攻击。由于通行密钥是标准化的,因此单个实现可以在不同的浏览器和操作系统中实现无密码体验。
我该做什么?
- 可以趁打折购买一两个 FIDO 设备,逐渐开启自己的无密码时代
- 等。各大厂商显然不会放过这个机会,基于手机的通用密钥也会普及开的。
而如果要购买 FIDO 设备,可以搜索 Yubico、FEITIAN,这两个品牌都还不错,青小蛙在某个机缘巧合之下团购了 FEITIAN,用起来还算方便,但国内服务支持的极少。
当然,如果这样,这些都不重要
- “我不会接触到敏感信息,所以我不需要担心安全问题。”
- “我的电脑杀毒软件很强大,我不用担心被攻击。”
- “我只是个普通人,没人会对我进行攻击或盗取我的个人信息。”
- “我不会在互联网上购物/银行业务,我不需要担心网络安全。”
- “我从不访问可疑网站,所以我不需要担心受到网络攻击。”
- “我又没什么重要的东西,无所谓安全。“
- …
其实,一个完全没有密码,但安全的互联网,也挺好的。
另外,就是不知道各路密码管理器厂家慌不慌 😂