第一个计算机密码发明仅仅两年后就被盗了。那是1962年的事情,艾伦•谢尔(Allan Scherr)想要有更多的时间来使用麻省理工学院(MIT)的那台共享计算机,但其个人帐户不允许这么做。后来,他如愿以偿,办法是打印出了全部的访问码,并与另一个学生共享这些密码以隐藏行踪。后来他才知道,这个学生利用这一新掌握的知识,在其部门主管的帐户上留下了一系列“嘲讽信息”。
这么一来,谢尔成了现代数据泄密的始作俑者:窃取密码让不怀好意的人可以未经授权获得访问。后来安全厂商开发出了其他的身份验证方法,包括使用生物特征识别登录或多种形式的身份验证,但是就实用性而言,没有哪种方法比得过密码。
如今密码仍然是使用最广泛的身份验证方法,同时也是一个潜在的安全薄弱环节。
图1. 第一个计算机密码发明仅仅两年后就被盗了。
新冠疫情肆虐期间,公众更加依赖密码。微软身份部门的项目管理企业副总裁亚历克斯•西蒙斯(Alex Simons)解释道:“现在员工和客户比以往更频繁地使用数字化工具,甚至可能需要使用这类工具才能在封锁隔离期间与企业组织进行联系。大多数人习惯于电子商务交易之类的活动,但是现在他们在续办驾驶执照、投票选举、领取药方以及向公司报到等——统统在网上进行。”
因而,企业更容易受到网络攻击。据密码管理器提供商Nordpass的调查显示,普通用户在日常生活中至少使用100个密码——不太可能记得住这么多的密码,大多数人针对多个帐户使用同一密码,以免牢记密码。在平常时间,这导致大公司的IT部门因数据泄露或用户忘记登录信息而花费长达一半时间来处理密码重置请求,导致生产力平均损失520万美元。新冠疫情完全加剧了这种状况,员工普遍使用个人设备无形中为蓄谋已久的犯罪分子带来新的攻击途径。
图2. IT人员密码服用的次数
来源:波耐蒙研究所研究报告
面对这种情形,雇主对身份验证解决方案的需求有所增加,这种解决方案让用户可以使用他们唯一的且无法复制的数据来验证身份——换句话说,就是彻底摈弃密码。
西蒙斯说:“像传真机一样,密码可能会存活一段时间。但是从我们目睹的发展势态来看,密码会很快销声匿迹。”
无密码身份验证
在最近的一篇博文中,西蒙斯详细阐释了对无密码身份验证的需求。2020年,微软Windows Hello for Business服务的使用量猛增了逾50%,而使用商业版软件来访问Windows 10设备的消费者所占的比例则从2019年的69.4%激增至84.7%。
西蒙斯说:“每当数十亿消费者使用智能手机登录到Windows笔记本电脑,他们已经在体验无密码环境。消费者希望获得便利,日益寻求具有安全功能的产品和服务。”
支持者认为,无密码身份验证现在可以提供这种安全性。网络安全专家J•沃尔夫冈•戈利奇(J. Wolfgang Goerlich)是身份验证提供商Duo Security的首席安全官(CSO),他解释:“从技术上来讲,硬件已变得非常好。”他还记得,过去指纹扫描装置必须固定在墙壁上。现在,指纹扫描装置的身影出现在其他所有移动设备上。
近年来,生物特征识别技术方面的行业协议也得到了改进,比如WebAuthen和FIDO 2等新标准让生物识别身份验证技术可以在更多的平台上使用。
即便如此,欧洲和中东地区的IT负责人中几乎1/3仍然不相信,目前的密码替代方法比现有的身份验证系统更实用或更易于管理。戈利奇解释道,大家认为密码成本低廉,“因为密码的成本在整个企业组织中分摊了”。
与此同时,无密码系统带来了新的问题:多个平台甚至多个用户方面存在着变数。“我们发现,用户们的指纹在阅读装置上识别效果欠佳,这在60岁以上的人群中尤为明显。”
人们还一直担心利用生物特征识别的身份验证并不完全安全。2018年,普林斯顿大学和浙江大学的研究人员演示了可以使用超声波频率黑入语音识别系统。在2013年苹果为iPhone 5S首次发布TouchID指纹传感器后的第二天,德国网络安全研究人员詹•克里斯勒(Jan Krissler)就用假手指解锁了iPhone 5S设备。一年后他重施故技,演示了一张4K分辨率的普京总统眼睛的照片如何骗过了虹膜扫描装置,并在2019年演示了半透明的假手如何骗过了静脉扫描装置。
克里斯勒对生物识别技术本质上比密码更安全持怀疑态度。他说:“我认为这主要取决于周围环境。从理论上讲,我仍会说密码更安全……糟糕的密码很容易猜中,但更多的生物特征识别设备很容易被骗倒。”
硬件本身在正常使用情况下也不尽如人意。网络安全研究员、《完美密码》一书作者马克•伯内特(Mark Burnett)在自家就遇到了这个问题。伯内特说:“我的Google Home智能家居设备开始向我给出错误的信息,原因是我儿子的声音听起来很像我,结果他接管了我的帐户。Google Home总是把我们混淆。”
问题并不仅限于语音识别。在指纹扫描装置上按压拇指过猛,可能会使传感器不知所措;走路一瘸一拐会让分析用户步态的摄像头同样不知所措。生物特征识别技术还带来了可访问性问题。比如说,对于没有双手的人来说,静脉扫描装置毫无用处,就像盲人无法使用直观的密码一样。
伯内特没有使用生物识别系统,而是使用物理验证密钥。这种设备小巧便携,计算机或手机可以检测到以确认身份。不过这种设备也给用户带来一系列全新的问题。
伯内特说:“设备会逐步损耗,设备电池可能耗光。你试图登录的设备可能没有阅读装置或访问的方式。”用户还可能丢失设备,安全密钥提供商很可能会向用户的手机发送SMS码或发送重新授予访问权的电子邮件,这都会损害物理密钥的安全性。
伯内特认为,验证身份的最佳方法是结合多种方法。加密货币交易所是采用这种方法已取得一定成功的应用环境,利用行为测试来评估用户确实是其本人的可能性。评估用户是否从其通常的物理位置和浏览器来登录,评估用户出示登录信息的具体时间,不一而足。
伯内特认为,实际上,这既保留了密码的便利性,又增加了另外几道看不见的安全层。“任何人都可能拥有您的密码,可能在任何地方登录。到头来您结合多种效果很好的方法,同时用起来又要很方便。”
无密码身份验证不会杀死密码
这不是第一次预测密码要消亡了。自2004年以来,微软就一直预测密码要消亡。比尔•盖茨(Bill Gates)在2004年的公司论坛上说:“我们正朝着生物特征识别和智能卡迈进。”
即便如此,在过去这二十年,无密码身份验证领域已发生了很大的变化。举例说,某些形式的生物特征识别登录技术(比如人脸识别和指纹扫描)已在移动设备上几乎遍地开花。用户对消费类设备中此类功能的需求不断提高,公司面临的压力因此越来越大:与内部服务和公司设备上的这类身份验证标准相匹配。戈利奇说:“来自消费者领域的需求切实而重大,居家办公完全加剧了这种需求;在居家办公环境下,大多数技术都易于使用,并支持无密码。”
新冠疫情加快了这种趋势。戈利奇表示,起初,公司专注于确保员工居家办公高效率,但是由于新冠疫情久拖不决,IT主管们已将注意力转向提升身份验证的便捷和高效。
“那么多人居家办公,使用消费类设备,这一事实再次表明:办公方式与非办公方式之间存在巨大脱节。这促使许多IT部门更加灵活地采用其他身份验证方式、采用不同的设备。”
伯内特同意这一观点。“使用指纹或将SMS码发送到手机上,这一做法已非常普遍,人们已经接受了这一点,人们对银行及其他没有真正重视安全的网站的批评也越来越多。现在有很多人关心身份安全。”
比较令人惊讶的是,一些人已转而支持无密码身份验证。詹•克里斯勒是其中之一,他确信生物特征识别会是密码的后续技术。他认为,生物特征识别系统很容易受到攻击,但攻击通常每次只针对一个人。与此相对,密码攻击则“却可以针对一大群人”。
戈利奇表示,记住下面这点也很重要:生物特征识别设备过去10年取得了显著进步。不像贴在墙壁上的老款指纹传感器,将用户数据传送到附近的服务器,成功验证身份后授予访问权限。现代扫描装置确保这类数据永远不会离开移动设备或笔记本电脑。继续改进这些功能(比如将基于平常的用户行为模式来访问系统列为标准),对于增强公众对该技术的信任至关重要。
戈利奇说:“一些系统很安全。犯罪分子只有窃取指纹、手机、笔记本电脑,从您平常工作的地区登录进去,才能开始访问您平常使用的应用程序。犯罪分子面临很大的难度和障碍。”
即使这样,密码本身的末日仍远未到来。举例说,升级公司基础架构以支持无密码身份验证是一项艰巨的任务。戈利奇说:“我们要继续维护的老式系统,即使不会继续使用数十年,至少也会继续使用数年。我们会继续维护,因为它们仍在提供商业价值。”
伯内特补充道,尽管密码存在种种缺陷,它仍有其内在价值,可以用作生物特征识别身份验证的辅助方法。任何坚信密码会在今后几年最终消亡的人未免太天真了。
“密码永远不会消失。您确实需要在某个地方有某种后备机制。不过如果在2030年我们仍基本上面临今天的同样问题,我不会感到惊讶。”
原文链接
https://techmonitor.ai/cybersecurity/has-covid-19-killed-the-password
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
