• 主页
  • 文章
  • 主题
  • 未来是无密码的:密码将如何简化您的生活并保护我们所有人

未来是无密码的:密码将如何简化您的生活并保护我们所有人

已发表: 2022-11-16

无密码身份验证正在接管已经不是什么秘密了。 Apple、Google 和 Microsoft 等全球技术领导者正在转向使用密钥。 利用公钥密码学,密钥在数字安全方面带来了近乎范式转换的体验。

iThemes 一直引领着 WordPress 的发展,并最终使整个互联网对每个人都更加安全和可用。 未来是无密码的,我们在这里告诉您原因。

在本无密码身份验证指南中,您将了解密钥如何克服基于密码的身份验证的安全漏洞以及您应该开始使用它们的原因。

无密码身份验证之旅

无密码身份验证之旅已经开始。 所有主要浏览器和科技巨头都引入了对密码的全面支持。 2022 年已成为跨多个设备和数字平台实现更一致、更安全、更轻松的无密码登录的新里程碑。

每年 5 月的第一个星期四是世界密码日,庆祝在共同努力中取得的新进展,使网络对每个人都更加安全和可用。 2022 年 5 月 5 日,苹果、谷歌和微软宣布计划扩大对 FIDO 联盟和万维网联盟创建的无密码登录标准的支持。

多年来,FIDO(在线快速身份识别)联盟和万维网联盟一直致力于制定一套标准,以允许在互联网上实施无密码身份验证。 FIDO 2 是最新的一组规范,现在大多数浏览器和平台都支持。

我们将在指南中更详细地回顾无密码身份验证的工作原理。 但在此之前,让我们看看为什么密码身份验证现在正逐渐成为历史。

为什么基于密码的身份验证落后了?

自 Internet 存在以来,基于密码的身份验证就一直伴随着我们,它允许用户使用凭据对(用户名和密码)登录网站或 Web 应用程序。 这种方法已证明其可靠性和多功能性,多年来一直是行业标准。

然而,尽管它易于实施和使用,但很快就在用户和服务器端发现了与基于密码的身份验证相关的许多缺点和安全风险。 简而言之,用户和服务器都缺乏保护共享秘密安全的能力。

与基于密码的身份验证相关的主要安全风险集中在使用密码作为共享机密。 这可以在身份验证过程的不同阶段被恶意行为者使用。 由于成功的暴力攻击,密码可能会被破坏或被简单地猜到。

密码泄露的 3 种常见方式

研究表明,超过 80% 的与黑客相关的违规行为都归因于密码泄露。 这意味着在某些时候,黑客通过冒充网站或 Web 应用程序的合法所有者设法获得对系统的未授权访问。 但是网站究竟是如何被黑客入侵的呢?

密码泄露的最常见方式包括网络钓鱼、暴力攻击和数据泄露。 用户可能会被诱骗而泄露他们的身份验证信息。 或者,如果服务提供商一方发生数据泄露,密码可能会被猜测或泄露。

暴力攻击和数据泄露

蛮力攻击正在上升,约占所有网络攻击的 80%。 由于密码猜测是自动进行的,因此攻击者破解任何帐户都不会花费太多时间。

黑客的机器(甚至称为僵尸网络的计算机网络)每秒可以生成数千个组合。 这允许攻击者立即获得对网站或 Web 应用程序的未授权访问。

如果您想知道为什么黑客会攻击您的网站,原因很简单。 黑客有能力每秒发出数千个 Web 请求。 他们很少选择他们想闯入的网站——他们会尝试破解尽可能多的网站。

获得网站甚至整个服务器的管理员访问权限为黑客利用系统提供了几乎无限的机会。 其中之一是从应用程序的数据库中泄露用户信息,包括用户名和密码。

为什么使用强密码不能解决所有安全风险

使用强密码是绝对必要的,它将为抵御暴力攻击提供强大的防线。 人们相信使用强密码可以解决所有安全风险。 但是,它只能在一定程度上降低您的凭据被泄露的可能性。

只有大约 30% 的用户配置双因素身份验证。 如果不使用多重身份验证,黑客离获取敏感信息仅一步之遥。

设置一次性密码、SMS 验证或任何其他类型的 2FA 是克服密码身份验证的大多数安全漏洞的绝佳选择。 但是,密钥可以在网络安全领域发挥真正的作用。

密钥

什么是密码?

万能钥匙是由非对称加密技术提供支持的数字凭证,可以完全取代基于密码的身份验证。 作为一种无密码身份验证形式,密钥提供了一种更快、更安全的方式来跨多个用户设备登录服务和应用程序。

无密码身份验证使您无需输入用户名和密码即可登录。相反,您的设备将生成一个万能钥匙——一对由特定凭据 ID 识别的加密密钥。

密钥如何确保安全身份验证

您创建的每个密钥都是唯一的,并且适用于单个网站或 Web 应用程序。 由于没有用户必须记住的共享秘密或密码,因此密钥提供了针对网络钓鱼和暴力攻击的全面保护。

创建新密钥后,服务器将保存公钥和凭证 ID。 私钥将安全地存储在用户的设备或您可以随身携带的硬件安全密钥(例如 YubiKey)上。

要支持密钥,用户的设备必须具有可信平台模块 (TPM) 安全芯片来执行加密操作,例如生成密钥和平台验证器。 平台认证器通常会支持多种类型的身份验证,包括生物特征信息和PIN码。

密钥还可以通过云服务在用户设备之间自动同步。 因此,您不必在其他设备上创建新的密钥对。 密钥同步是端到端加密的,云服务将安全地存储密钥的加密副本。

即使公钥泄露,没有对应的私钥对黑客来说也是无用的。 这消除了由于数据泄露而导致未经授权访问的任何可能性。 恶意行为者无法冒充您。

密钥如何工作?

由于非对称密码学的发展以及 FIDO 联盟和万维网联盟创建的若干标准和协议,使用万能钥匙成为可能。 让我们通过更多地了解公钥加密、WebAuthn 和客户端到身份验证器协议来更详细地了解密钥的工作原理。

公钥加密

公钥或非对称密码学涉及一对密钥(私钥和公钥),用于加密和解密各方交换的数据。 私钥必须保密,而公钥在线发布(或在创建密钥时提供给服务器)。

除了无密码身份验证之外,非对称加密技术还有助于确保端到端加密,以保护通过网络传输的流量。 SSL/TLS 证书的私钥安装在源服务器上,而公钥用于在建立连接之前验证网站的身份。

Web 身份验证 API (WebAuthn) 和客户端到身份验证器协议

连同客户端到身份验证器协议,Web 身份验证 API 是 FIDO2 框架的一部分,FIDO2 框架是一组技术,可以在服务器、浏览器和身份验证器之间使用无密码身份验证。

WebAuthn 是 Web Authentication API 的简称,是由 World Web Consortium 和 FIDO 共同制定的允许服务器实现无密码认证的新规范。 从 2019 年开始,所有主流浏览器都支持 WebAuthn,包括 Chrome、Firefox、Safari 和 Edge。

作为应用程序编程接口,WebAuthn 允许网站和 Web 应用程序使用密钥而不是密码来注册和验证用户。

Web 身份验证与其他 FIDO 标准一起工作,例如凭据管理和身份验证器协议 2 (CTAP 2) 的客户端。 CTAP 2 是一种应用层协议,它指定浏览器、操作系统和漫游身份验证器之间的通信。

注册密钥

当您注册一个新的密钥进行身份验证时,托管应用程序的服务器将生成一个质询。 然后,您的设备将创建一个新的密钥对,签署质询,并将公钥连同凭据 ID 一起发送到服务器。

服务器将保存公钥和凭证标识符,以便在您下次登录时对您进行身份验证。您可以为每个帐户创建多个密钥以实现冗余。 这也有助于在主密钥丢失的情况下更快地恢复帐户。

私钥将保存到您的设备并安全地存储在那里。 访问私钥的唯一方法是使用生物识别传感器验证您的身份。 这包括您的指纹或面部图案或 PIN。

无密码认证过程

一旦为您的帐户创建了新的密钥,您就可以在需要登录网站或应用程序时使用无密码身份验证。 除了使用用户名和密码登录外,您还可以选择使用密钥。

服务器将发送凭据 ID(如果您为帐户生成了多个密钥,则发送多个 ID)和质询。 然后,您的设备将使用凭据 ID 找到正确的密钥,并要求您使用支持的身份验证方法之一来验证您的身份。

密钥解锁后,您的设备将签署质询并将其发送到服务器进行身份验证。 服务器将使用配对中的公钥验证已签名的质询,并授予对您帐户的访问权限。

iThemes 为 WordPress 带来无密码身份验证

WordPress 一直是全世界黑客的首要目标。

对 WordPress 网站的攻击数量和全球恶意软件数量的增加不会被忽视。 随着恶意攻击的目标越来越多,网站安全现在比以往任何时候都更加重要。

多年来,iThemes 一直在寻找新的方法来保护 WordPress 网站免受不断增加的安全威胁。 每周 WordPress 漏洞报告帮助我们了解如何保护 WordPress 网站的关键区域之一——其管理仪表板。

万能钥匙无疑是网络安全领域最杰出的创新之一。 跨平台和操作系统越来越多地适应密钥可以永远改变互联网。 WordPress 密钥可以对 WordPress 安全性产生真正的影响。 iThemes 很快就让 WordPress 社区可以使用无密码身份验证。

2022 年 9 月,iThemes Security Pro 支持 WordPress 密码以进行无密码身份验证。 将网络安全的最新发展带到您的 WordPress 网站,iThemes Security Pro 朝着更安全和一致的身份验证体验迈出了一大步。

借助 iThemes Security Pro,WordPress 身份验证的密码可在所有类型的设备上使用。 您可以使用平台验证器,例如 Apple Touch ID、Face ID 和 Windows Hello,以及任何漫游验证器。

开始使用 WordPress 密码

要开始使用密码进行 WordPress 管理员身份验证,请确保将 iThemes Security Pro 更新到最新版本。 启用无密码身份验证的选项将在“登录安全”选项卡中可用。 启用密钥支持后,从管理仪表板为 WordPress 用户配置密钥。

如果您仍然没有利用自动 WordPress 核心、主题和插件更新,是时候开始了。 BackupBuddy 是一个屡获殊荣的 WordPress 备份解决方案,将帮助您建立强大的备份策略,以自信地处理所有更新。

运行多个网站? iThemes Sync 将帮助您从一个仪表板管理多个 WordPress 网站,从而节省您的时间和金钱。 高级监控、SEO 指标跟踪以及与 BackupBuddy 和 iThemes Security Pro 的集成——所有这些都可以通过您的个人 WordPress 网站助手使用。

科技巨头如何实施密码

三大全球科技巨头——苹果、谷歌和微软——引领了所有主要浏览器和操作系统的无密码身份验证。 Android、iOS 和 Windows 现在可以在多个设备上使用强大的内置平台验证器和同步密钥。

苹果

Apple 在发布 IOS 16 和 macOS Ventura 时引入了密钥,使所有 Apple 设备的用户都可以使用无密码身份验证。 Apple 的内置身份验证器(例如 Touch ID 和 Face ID)授权在 Safari 和其他主要浏览器中使用密钥。

在 iCloud Keychain 的帮助下,密码在所有用户的 Apple 设备之间同步。 当用户首次启用 iCloud Keychain 时,Apple 设备会建立一个信任圈并创建一个新的唯一密钥对存储在设备的 keychain 中。 这样,iCloud Keychain 就可以使用强大的加密密钥提供端到端的加密。

谷歌

早在 10 月,Google 就宣布为 Google Chrome 和 Android 带来密钥支持。 这是将密钥集成到生态系统中的一个重要里程碑。 在 Chrome 和 Android 上,密钥存储在 Google 密码管理器中。 凭据在登录同一 Google 帐户的用户设备之间同步。

未来,谷歌计划扩大对 Android 密钥的支持。 一个新的 API 将允许使用 Android 应用程序的密钥。

微软

在通过 Internet 实施无密码身份验证方面,Microsoft 一直处于领先地位。 在 2022 年之前,Windows 365 和 Azure 虚拟桌面已经包含对密钥的支持。

Microsoft 使用 Windows Hello 启用无密码登录,Windows Hello 是一个强大的平台身份验证器,现已内置于 Windows 10 和 11 中。Microsoft 的密钥实现与 Apple 类似。 它允许您在登录同一 Microsoft 帐户的设备之间同步您的密码。

其他使用密钥的公司

一些公司已经采用了基于 FIDO 联盟制定的标准的无密码身份验证。 PayPal、Amazon、eBay、Facebook、Netflix 和 IBM 都是将无密码身份验证引入其平台的创新者。

包起来

基于非对称密码学和许多由 FIDO 联盟和世界网络联盟开发的强大协议和规范,密钥可以在不久的将来完全取代基于密码的身份验证。 最大的科技公司正在逐步扩大对密钥的支持。 我们很快就会忘记暴力攻击和未经授权的访问。

经过多年寻找合适的解决方案来提供更一致的身份验证体验,现在密码可以简化我们的生活并保护我们。 你应该已经忘记密码是什么了吗? 还没有,但您肯定需要准备好使用密钥。

身份验证的未来是密码! 使用仅在 iThemes Security Pro 中可用的生物识别技术登录到您的 WordPress 网站

通过凭据填充、网络钓鱼攻击和重复使用的密码进行暴力攻击的问题使我们的数字生活变得不那么安全。 我们都试图鼓励将 2 因素身份验证作为一种保护措施,但只有不到 30% 的用户实际使用 2FA。 基于密码的登录是一个问题。

身份验证的未来是密码,iThemes Security Pro 率先将这项突破性技术引入 WordPress 网站。 使用基于公共/私有密码学的突破性 WebAuthn 技术,密钥使密码过时。 现在,网站管理员和最终用户可以安全登录,而无需额外的双因素应用程序、密码管理器或复杂的密码要求带来的不便。

了解有关密钥的更多信息