密碼結束的開始
已發表: 2023-05-06昨天,谷歌宣布“密碼終結的開始”。 到明年這個時候,您可能不再使用密碼了。
偉大的密碼滅絕已經在進行中
想像一個沒有密碼的世界。
在這個無密碼的新世界中,您仍然可以登錄所有在線帳戶。 從 WordPress 網站到您的銀行,創建和訪問在線帳戶比以往任何時候都更容易、更安全——無需密碼。
那不是一種解脫嗎? 好消息:全球密碼滅絕已經發生,而另一邊的生活更好。
2022 年底,Apple 推出了對 iOS 16 和 MacOS 13“Ventura”的密鑰支持。
昨天,谷歌宣布他們“將在所有主要平台上推出對跨谷歌賬戶的密碼支持。”
在 iThemes,我們感到非常自豪的是,我們的 Security Pro 產品是第一個將密鑰和其他無密碼身份驗證方法引入 WordPress 的產品。
無密碼生活如何可能?
在我開始使用 Apple Watch 大約一個月後,它開始自動解鎖並登錄我運行當前版本 MacOS 的台式機和筆記本電腦。 我不記得除了打開 MacOS 密鑰支持以將其與我的 Google 帳戶和 iThemes Security 一起使用外,我還做了其他事情。 顯然,這也讓我的手錶成為了一個值得信賴的密鑰設備。
以前,Apple Touch 生物識別登錄是我擁有的最方便的密碼替代方案。 現在是我的手錶了。 有時,如果我離開的時間足夠長,我仍然需要輸入密碼,但我的手錶讓這種情況變得不那麼常見了,這要歸功於連接到我的 Apple ID 和所有 Apple 設備的通用密碼。
硬件密鑰,如 YubiKey,將為您提供相同的無密碼登錄體驗——無需 Apple 設備。
Windows 和 Android 設備支持無密碼登錄,這也要歸功於密鑰。
什麼是密碼?
你可以感謝開源的密碼。 密碼技術基於 FIDO(“快速身份在線”)聯盟制定的開放標準。 WebAuthn API 由 W3C 開發,是 FIDO2 標準的一部分。 WebAuthn 使密鑰能夠快速、輕鬆地執行跨平台、無密碼身份驗證。
密鑰是由身份驗證設備(如您的智能手機)生成的唯一加密數字標識符。 公鑰密碼術用於創建公鑰和私鑰對。 這對密鑰共同構成了您在驗證設備上的密鑰。 您的每個設備都可能有一個唯一的私鑰,但您的公鑰是通過網絡共享的。 很可能,你永遠都見不到他們中的任何一個。 沒人會。
當您輸入密碼、PIN 或通過生物識別挑戰時,您的手機或其他支持密鑰的設備會驗證您是授權用戶。 一旦你這樣做了,你的手機和它的密碼就可以作為其他設備和應用程序的鑰匙。 您不必在筆記本電腦上再次輸入密碼並再次登錄 WordPress,您的手機會告訴您的計算機讓您進入。然後它的操作系統告訴您的瀏覽器要求 WordPress 讓您進入——所有這些都不需要密碼。
如果您的設備和網站設置了密碼,這是一種非常流暢的體驗。 您可能需要提供 PIN 或通過快速生物識別挑戰,但這比填寫三個不同的登錄表單而不回收您的密碼或使用弱密碼要簡單得多。 如果您討厭雙因素身份驗證 (2FA),則無需再使用它。 1個
為什麼萬能鑰匙會取代密碼
最初,密鑰是與密碼和 2FA 一起作為身份驗證選項出現的。 您可以使用其中任何一個。 但隨著時間的推移,很少有人願意保留不安全的密碼或處理耗時的 2FA 代碼。 由於以下原因,密碼將很快成為首選:
- 增強的安全性。 密鑰將取代密碼的主要原因之一是它們提供的改進的安全性。 許多數據洩露都是由弱密碼或被盜密碼造成的,這凸顯了傳統基於密碼的身份驗證的脆弱性。 密鑰背後的公鑰密碼系統更難破解。
- 更好的用戶體驗。 記住許多複雜的在線帳戶密碼可能很困難,而且通常會導緻密碼使用不當。 密鑰簡化了身份驗證過程。 您只需要一個存儲密鑰的設備即可訪問任何支持密鑰身份驗證的帳戶。 這種方便的用戶體驗鼓勵採用密鑰作為安全的身份驗證方法。
- 密碼管理器 可選。 密鑰可能會減少(如果不能消除)對傳統密碼管理器的需求。 雖然密碼管理器提供了存儲多個密碼的替代方法,但它們也帶來了額外的風險。 這些密碼庫可能成為單點故障。 正如我們在 LastPass 中看到的那樣,一個被破壞的密碼管理平台可能會暴露其所有客戶帳戶、密碼和個人信息。
無密碼的未來:它會是什麼樣子
萬能鑰匙取代密碼有三大優勢,但它們的共同點是萬能鑰匙既有利於安全性,也有利於簡單性。
優點
- 無縫身份驗證。 隨著密鑰變得越來越普遍,驗證和訪問在線服務的過程將變得越來越無縫。 用戶將能夠通過簡單地使用他們的密碼存儲設備或生物特徵識別方法(例如指紋或面部識別)來登錄他們的帳戶。
- 多重身份驗證變得簡單。 通過將用戶知道的東西(密鑰)與用戶擁有的東西(存儲密鑰的設備)結合起來,密鑰本質上支持多因素身份驗證 (MFA)。 將 MFA 無縫集成到身份驗證過程中,將在不犧牲用戶體驗的情況下打造更安全的在線環境。
- 減少數據洩露。 隨著密鑰成為身份驗證的新標準,由弱密碼或被盜密碼導致的數據洩露數量可能會下降。 密鑰提供的增強安全性將使網絡犯罪分子更難破壞用戶帳戶,從而帶來更安全的數字環境。
到目前為止,安全身份驗證帶來良好用戶體驗的情況很少見。 密碼是一個很大的例外。 這太棒了,但總有缺點。
缺點
- 複雜的網絡釣魚和社交黑客攻擊。 密碼可能幾乎不可能被竊取和破解,但當安全性提高時,犯罪分子永遠不會放棄——他們會適應新工具並找到被忽視的弱點以加以利用。 今天,人工智能工具讓任何人都可以輕鬆地表現出流利的任何語言,這對於任何想要欺騙他人信任他們的人來說都是一筆巨大的財富。 重大密碼洩露事件可能會逐漸成為過去,但網絡釣魚和社交黑客可能會變得更加複雜和普遍。
- 物理安全和隱私。 當我的左撇子女兒將我的手錶戴在另一隻手較小的手腕上時,我的 Apple 設備無法分辨出這不是我。 她只需要我的手錶和 4 位數的 PIN 碼即可登錄我的電腦。 2小偷可以這樣做——警察也可以。 3隨著我們與設備的關係在物理上變得更加糾纏,許多關於個人隱私的難題出現了。 4已經在下降的在線匿名可能會消失。
- 人們也會共享密碼。 密碼管理器被廣泛用於共享密碼,這是一種糟糕的安全做法,但它已經完成了。 共享密碼最終將成為被盜密碼。 幸運的是,您不太可能看到,更不用說記住、寫下或通過電子郵件將密鑰發送給同事或朋友了。 但是,您現在可以使用一些密碼管理器來存儲甚至共享密鑰。 有安全的方法可以做到這一點,但我懷疑它在實踐中的效果如何。 不管你怎麼做,共享秘密本質上都是不安全的。 (共享的秘密不再是秘密。)共享敏感數據或信息在很大程度上取決於人與人之間的信任,而這始終是一種薄弱的紐帶——參見上面的第 1 點和第 2 點。
安全思維與“別讓我思考”
無論無密碼的未來面臨什麼樣的挑戰,我們都會去那裡。 密碼被破解——它們是一種糟糕的身份驗證方法,需要消失——越快越好。 採用無密碼身份驗證將改善我們的在線體驗並幫助保護我們的數字生活。 不必太擔心密碼安全和管理是一種巨大的解脫。
另一方面,“Don't Make Me Think”在用戶體驗和界面設計方面是一個極好的目標,但在安全方面可能是一場災難。 設計的簡單性可以提高用戶的效率,並減輕他們的認知負擔。 密碼非常好地提供了這種簡單性。 但它們不應該讓我們對威脅不斷變化的世界中的潛在安全風險感到更加自滿。
由萬能鑰匙提供支持並在所有主要平台上得到採用,未來的網絡將在我們訪問在線服務時提供更加安全和用戶友好的體驗。 努力記住複雜密碼(以及共享或回收它們)的日子很快就會成為過去,這是一個明顯的進步。
現在也是提高我們的基準安全標準的時候了。 萬能鑰匙可以做到這一點,我希望這將有助於使網絡犯罪、欺詐和身份盜用變得更加困難和罕見。 現在就開始使用它們,如果您有 WordPress 網站,請考慮將密碼設置為登錄它們的選項。 還要繼續考慮安全性。 詢問安全意味著什麼,以及在沒有密碼的世界的新環境中威脅會如何變化。
筆記:
- 諸如“我已將自己鎖在數字生活之外”和“Gmail 2FA 導致無家可歸者每年 3 次永久無法訪問”之類的報告顯示了雙因素身份驗證的缺點。
- 如果沒有像 Touch ID 這樣的生物認證,Apple Watch 可能不是最好的安全密鑰。 根據 Apple 最近的一些專利,基於掌上電腦的 Touch ID 可能正在開發中。
- 如果執法部門使用對一台設備的密鑰訪問來搜索更多設備和在線帳戶,電子前沿基金會已經表達了對可能侵犯公民權利的擔憂。
- 從手錶和類似設備收集的生物數據中識別獨特的生物識別特徵也是可能的,因為它們可以檢測出 COVID 等疾病的早期發作。
Dan Knauss 是 StellarWP 的技術內容通才。 自 1990 年代後期以來,他一直是一名作家、教師和自由職業者,從事開源工作,自 2004 年以來一直從事 WordPress。