未來是無密碼的:密碼將如何簡化您的生活並保護我們所有人
已發表: 2022-11-16無密碼身份驗證正在接管已經不是什麼秘密了。 Apple、Google 和 Microsoft 等全球技術領導者正在轉向使用密鑰。 利用公鑰密碼學,密鑰在數字安全方面帶來了近乎範式轉換的體驗。
iThemes 一直引領著 WordPress 的發展,並最終使整個互聯網對每個人都更加安全和可用。 未來是無密碼的,我們在這裡告訴您原因。
在本無密碼身份驗證指南中,您將了解密鑰如何克服基於密碼的身份驗證的安全漏洞以及您應該開始使用它們的原因。
無密碼身份驗證之旅
無密碼身份驗證之旅已經開始。 所有主要瀏覽器和科技巨頭都引入了對密碼的全面支持。 2022 年已成為跨多個設備和數字平台實現更一致、更安全、更輕鬆的無密碼登錄的新里程碑。
每年 5 月的第一個星期四是世界密碼日,慶祝在共同努力中取得的新進展,使網絡對每個人都更加安全和可用。 2022 年 5 月 5 日,蘋果、谷歌和微軟宣布計劃擴大對 FIDO 聯盟和萬維網聯盟創建的無密碼登錄標準的支持。
多年來,FIDO(在線快速身份識別)聯盟和萬維網聯盟一直致力於製定一套標準,以允許在互聯網上實施無密碼身份驗證。 FIDO 2 是最新的一組規範,現在大多數瀏覽器和平台都支持。
我們將在指南中更詳細地回顧無密碼身份驗證的工作原理。 但在此之前,讓我們看看為什麼密碼身份驗證現在正逐漸成為歷史。
為什麼基於密碼的身份驗證落後了?
自 Internet 存在以來,基於密碼的身份驗證就一直伴隨著我們,它允許用戶使用憑據對(用戶名和密碼)登錄網站或 Web 應用程序。 這種方法已證明其可靠性和多功能性,多年來一直是行業標準。
然而,儘管它易於實施和使用,但很快就在用戶和服務器端發現了與基於密碼的身份驗證相關的許多缺點和安全風險。 簡而言之,用戶和服務器都缺乏保護共享秘密安全的能力。
與基於密碼的身份驗證相關的主要安全風險集中在使用密碼作為共享機密。 這可以在身份驗證過程的不同階段被惡意行為者使用。 由於成功的暴力攻擊,密碼可能會被破壞或被簡單地猜到。
密碼洩露的 3 種常見方式
研究表明,超過 80% 的與黑客相關的違規行為都歸因於密碼洩露。 這意味著在某些時候,黑客通過冒充網站或 Web 應用程序的合法所有者設法獲得對系統的未授權訪問。 但是網站究竟是如何被黑客入侵的呢?
密碼洩露的最常見方式包括網絡釣魚、暴力攻擊和數據洩露。 用戶可能會被誘騙而洩露他們的身份驗證信息。 或者,如果服務提供商一方發生數據洩露,密碼可能會被猜測或洩露。
暴力攻擊和數據洩露
蠻力攻擊正在上升,約佔所有網絡攻擊的 80%。 由於密碼猜測是自動進行的,因此攻擊者破解任何帳戶都不會花費太多時間。
黑客的機器(甚至稱為殭屍網絡的計算機網絡)每秒可以生成數千個組合。 這允許攻擊者立即獲得對網站或 Web 應用程序的未授權訪問。
如果您想知道為什麼黑客會攻擊您的網站,原因很簡單。 黑客有能力每秒發出數千個 Web 請求。 他們很少選擇他們想闖入的網站——他們會嘗試破解盡可能多的網站。
獲得網站甚至整個服務器的管理員訪問權限為黑客利用系統提供了幾乎無限的機會。 其中之一是從應用程序的數據庫中洩露用戶信息,包括用戶名和密碼。
為什麼使用強密碼不能解決所有安全風險
使用強密碼是絕對必要的,它將為抵禦暴力攻擊提供強大的防線。 人們相信使用強密碼可以解決所有安全風險。 但是,它只能在一定程度上降低您的憑據被洩露的可能性。
只有大約 30% 的用戶配置雙因素身份驗證。 如果不使用多重身份驗證,黑客離獲取敏感信息僅一步之遙。
設置一次性密碼、SMS 驗證或任何其他類型的 2FA 是克服密碼身份驗證的大多數安全漏洞的絕佳選擇。 但是,密鑰可以在網絡安全領域發揮真正的作用。
什麼是密碼?
萬能鑰匙是由非對稱加密技術提供支持的數字憑證,可以完全取代基於密碼的身份驗證。 作為一種無密碼身份驗證形式,密鑰提供了一種更快、更安全的方式來跨多個用戶設備登錄服務和應用程序。
無密碼身份驗證使您無需輸入用戶名和密碼即可登錄。相反,您的設備將生成一個萬能鑰匙——一對由特定憑據 ID 識別的加密密鑰。
密鑰如何確保安全身份驗證
您創建的每個密鑰都是唯一的,並且適用於單個網站或 Web 應用程序。 由於沒有用戶必須記住的共享秘密或密碼,因此密鑰提供了針對網絡釣魚和暴力攻擊的全面保護。
創建新密鑰後,服務器將保存公鑰和憑證 ID。 私鑰將安全地存儲在用戶的設備或您可以隨身攜帶的硬件安全密鑰(例如 YubiKey)上。
要支持密鑰,用戶的設備必須具有可信平台模塊 (TPM) 安全芯片來執行加密操作,例如生成密鑰和平台驗證器。 平台認證器通常會支持多種類型的身份驗證,包括生物特徵信息和PIN碼。
密鑰還可以通過雲服務在用戶設備之間自動同步。 因此,您不必在其他設備上創建新的密鑰對。 密鑰同步是端到端加密的,雲服務將安全地存儲密鑰的加密副本。
即使公鑰洩露,沒有對應的私鑰對黑客來說也是無用的。 這消除了由於數據洩露而導致未經授權訪問的任何可能性。 惡意行為者無法冒充您。
密鑰如何工作?
由於非對稱密碼學的發展以及 FIDO 聯盟和萬維網聯盟創建的若干標準和協議,使用萬能鑰匙成為可能。 讓我們通過更多地了解公鑰加密、WebAuthn 和客戶端到身份驗證器協議來更詳細地了解密鑰的工作原理。
公鑰加密
公鑰或非對稱密碼學涉及一對密鑰(私鑰和公鑰),用於加密和解密各方交換的數據。 私鑰必須保密,而公鑰在線發布(或在創建密鑰時提供給服務器)。
除了無密碼身份驗證之外,非對稱加密技術還有助於確保端到端加密,以保護通過網絡傳輸的流量。 SSL/TLS 證書的私鑰安裝在源服務器上,而公鑰用於在建立連接之前驗證網站的身份。
Web 身份驗證 API (WebAuthn) 和客戶端到身份驗證器協議
連同客戶端到身份驗證器協議,Web 身份驗證 API 是 FIDO2 框架的一部分,FIDO2 框架是一組技術,可以在服務器、瀏覽器和身份驗證器之間使用無密碼身份驗證。
WebAuthn 是 Web Authentication API 的簡稱,是由 World Web Consortium 和 FIDO 共同製定的允許服務器實現無密碼認證的新規範。 從 2019 年開始,所有主流瀏覽器都支持 WebAuthn,包括 Chrome、Firefox、Safari 和 Edge。
作為應用程序編程接口,WebAuthn 允許網站和 Web 應用程序使用密鑰而不是密碼來註冊和驗證用戶。
Web 身份驗證與其他 FIDO 標準一起工作,例如憑據管理和身份驗證器協議 2 (CTAP 2) 的客戶端。 CTAP 2 是一種應用層協議,它指定瀏覽器、操作系統和漫遊身份驗證器之間的通信。
註冊密鑰
當您註冊一個新的密鑰進行身份驗證時,託管應用程序的服務器將生成一個質詢。 然後,您的設備將創建一個新的密鑰對,簽署質詢,並將公鑰連同憑據 ID 一起發送到服務器。
服務器將保存公鑰和憑證標識符,以便在您下次登錄時對您進行身份驗證。您可以為每個帳戶創建多個密鑰以實現冗餘。 這也有助於在主密鑰丟失的情況下更快地恢復帳戶。
私鑰將保存到您的設備並安全地存儲在那裡。 訪問私鑰的唯一方法是使用生物識別傳感器驗證您的身份。 這包括您的指紋或面部圖案或 PIN。
無密碼認證過程
一旦為您的帳戶創建了新的密鑰,您就可以在需要登錄網站或應用程序時使用無密碼身份驗證。 除了使用用戶名和密碼登錄外,您還可以選擇使用密鑰。
服務器將發送憑據 ID(如果您為帳戶生成了多個密鑰,則發送多個 ID)和質詢。 然後,您的設備將使用憑據 ID 找到正確的密鑰,並要求您使用支持的身份驗證方法之一來驗證您的身份。
密鑰解鎖後,您的設備將簽署質詢並將其發送到服務器進行身份驗證。 服務器將使用配對中的公鑰驗證已簽名的質詢,並授予對您帳戶的訪問權限。
iThemes 為 WordPress 帶來無密碼身份驗證
WordPress 一直是全世界黑客的首要目標。
對 WordPress 網站的攻擊數量和全球惡意軟件數量的增加不會被忽視。 隨著惡意攻擊的目標越來越多,網站安全現在比以往任何時候都更加重要。
多年來,iThemes 一直在尋找新的方法來保護 WordPress 網站免受不斷增加的安全威脅。 每週 WordPress 漏洞報告幫助我們了解如何保護 WordPress 網站的關鍵區域之一——其管理儀表板。
萬能鑰匙無疑是網絡安全領域最傑出的創新之一。 跨平台和操作系統越來越多地適應密鑰可以永遠改變互聯網。 WordPress 密鑰可以對 WordPress 安全性產生真正的影響。 iThemes 很快就讓 WordPress 社區可以使用無密碼身份驗證。
2022 年 9 月,iThemes Security Pro 支持 WordPress 密碼以進行無密碼身份驗證。 將網絡安全的最新發展帶到您的 WordPress 網站,iThemes Security Pro 朝著更安全和一致的身份驗證體驗邁出了一大步。
借助 iThemes Security Pro,WordPress 身份驗證的密碼可在所有類型的設備上使用。 您可以使用平台驗證器,例如 Apple Touch ID、Face ID 和 Windows Hello,以及任何漫遊驗證器。
開始使用 WordPress 密碼
要開始使用密碼進行 WordPress 管理員身份驗證,請確保將 iThemes Security Pro 更新到最新版本。 啟用無密碼身份驗證的選項將在“登錄安全”選項卡中可用。 啟用密鑰支持後,從管理儀表板為 WordPress 用戶配置密鑰。
如果您仍然沒有利用自動 WordPress 核心、主題和插件更新,是時候開始了。 BackupBuddy 是一個屢獲殊榮的 WordPress 備份解決方案,將幫助您建立強大的備份策略,以自信地處理所有更新。
運行多個網站? iThemes Sync 將幫助您從一個儀表板管理多個 WordPress 網站,從而節省您的時間和金錢。 高級監控、SEO 指標跟踪以及與 BackupBuddy 和 iThemes Security Pro 的集成——所有這些都可以通過您的個人 WordPress 網站助手使用。
科技巨頭如何實施密碼
三大全球科技巨頭——蘋果、谷歌和微軟——引領了所有主要瀏覽器和操作系統的無密碼身份驗證。 Android、iOS 和 Windows 現在可以在多個設備上使用強大的內置平台驗證器和同步密鑰。
蘋果
Apple 在發布 IOS 16 和 macOS Ventura 時引入了密鑰,使所有 Apple 設備的用戶都可以使用無密碼身份驗證。 Apple 的內置身份驗證器(例如 Touch ID 和 Face ID)授權在 Safari 和其他主要瀏覽器中使用密鑰。
在 iCloud Keychain 的幫助下,密碼在所有用戶的 Apple 設備之間同步。 當用戶首次啟用 iCloud Keychain 時,Apple 設備會建立一個信任圈並創建一個新的唯一密鑰對存儲在設備的 keychain 中。 這樣,iCloud Keychain 就可以使用強大的加密密鑰提供端到端的加密。
谷歌
早在 10 月,Google 就宣佈為 Google Chrome 和 Android 帶來密鑰支持。 這是將密鑰集成到生態系統中的一個重要里程碑。 在 Chrome 和 Android 上,密鑰存儲在 Google 密碼管理器中。 憑據在登錄同一 Google 帳戶的用戶設備之間同步。
未來,谷歌計劃擴大對 Android 密鑰的支持。 一個新的 API 將允許使用 Android 應用程序的密鑰。
微軟
在通過 Internet 實施無密碼身份驗證方面,Microsoft 一直處於領先地位。 在 2022 年之前,Windows 365 和 Azure 虛擬桌面已經包含對密鑰的支持。
Microsoft 使用 Windows Hello 啟用無密碼登錄,Windows Hello 是一個強大的平台身份驗證器,現已內置於 Windows 10 和 11 中。Microsoft 的密鑰實現與 Apple 類似。 它允許您在登錄同一 Microsoft 帳戶的設備之間同步您的密鑰。
其他使用密鑰的公司
一些公司已經採用了基於 FIDO 聯盟制定的標準的無密碼身份驗證。 PayPal、Amazon、eBay、Facebook、Netflix 和 IBM 都是將無密碼身份驗證引入其平台的創新者。
包起來
基於非對稱密碼學和許多由 FIDO 聯盟和世界網絡聯盟開發的強大協議和規範,密鑰可以在不久的將來完全取代基於密碼的身份驗證。 最大的科技公司正在逐步擴大對密鑰的支持。 我們很快就會忘記暴力攻擊和未經授權的訪問。
經過多年尋找合適的解決方案來提供更一致的身份驗證體驗,現在密碼可以簡化我們的生活並保護我們。 你應該已經忘記密碼是什麼了嗎? 還沒有,但您肯定需要準備好使用密鑰。
身份驗證的未來是密碼! 使用僅在 iThemes Security Pro 中可用的生物識別技術登錄到您的 WordPress 網站
通過憑據填充、網絡釣魚攻擊和重複使用的密碼進行暴力攻擊的問題使我們的數字生活變得不那麼安全。 我們都試圖鼓勵將 2 因素身份驗證作為一種保護措施,但只有不到 30% 的用戶實際使用 2FA。 基於密碼的登錄是一個問題。
身份驗證的未來是密碼,iThemes Security Pro 率先將這項突破性技術引入 WordPress 網站。 使用基於公共/私有密碼學的突破性 WebAuthn 技術,密鑰使密碼過時。 現在,網站管理員和最終用戶可以安全登錄,而無需額外的雙因素應用程序、密碼管理器或複雜的密碼要求帶來的不便。
Kiki 擁有信息系統管理學士學位和兩年多的 Linux 和 WordPress 經驗。 她目前是 Liquid Web 和 Nexcess 的安全專家。 在此之前,Kiki 是 Liquid Web Managed Hosting 支持團隊的一員,在那裡她幫助了數百名 WordPress 網站所有者並了解了他們經常遇到的技術問題。 她對寫作的熱情使她能夠分享自己的知識和經驗來幫助人們。 除了技術之外,Kiki 還喜歡了解太空和收聽真實的犯罪播客。