FIDO(以前的快速身份在线)联盟开始消灭密码。
这似乎不是一份艰难的销售工作。在安全专家中,密码是一种糟糕的、过时的身份验证形式,这一点几乎没有争议。
证据是压倒性的。尽管有人劝告人们要使用又长又复杂的密码,至少每月更换一次密码,避免在多个网站上使用同一个密码,但大多数人还是不这么做。
最新的威瑞森数据泄露事件报告(DBIR)发现,63%的数据泄露涉及使用被盗的、弱的或默认的密码.
即使密码很复杂,它们也会不断被偷。就在最近几个月,有一系列灾难性密码泄露的报告——Twitter上有3300万,LinkedIn上有1.65亿,Tumbler上有6500万,MySpace上有3.6亿,Badoo上有1.27亿,VK.com上有1.71亿。
Cyphort威胁行动高级总监尼克·比洛戈尔斯克利(Nick Bilogorskly)在最近的一篇博客文章中指出,现在已经有了超过10亿个有证书的账户在网上出售.他把它们比作散落在地上的数亿把能够打开银行保险箱的钥匙。
他写道:“你只需要拿起它们,找到一根火柴,就能打开任何你想要的盒子。”“事实上,这更糟糕,因为对大多数人来说,这把钥匙是用来打开他们的办公室、汽车和房子的。”
当然,在自动化的帮助下,可以在几秒钟内把钥匙装进数百万把“锁”里。
达特茅斯学院、宾夕法尼亚大学和南加州大学的研究人员最近的一项研究发现,医疗保健行业的情况甚至更糟医务人员规避密码的努力是“普遍存在的”——为了避免在使用设备或获取用品时出现任何延误,他们通常会在便利贴上写上密码。
据报道,标题的一部分是“你想要我的密码还是一个死去的病人?”“医务人员只是试图在经常繁重和不合理的计算机安全规则面前做他们的工作。”
FIDO表示,解决这种漏洞百出的“安全”标准的方法就是去掉它。但是这个自称为“跨行业联盟”的联盟,除了说服专家甚至网络内容提供商外,还需要做更多的事情。它必须说服用户——那些熟悉和习惯密码的人,那些对更改密码表现出非理性抵制的人。
Gary McGraw首席技术官,Cigital
Cigital首席技术官加里•麦格劳(Gary McGraw)表示:“试图吸引眼球的网站无法真正强迫用户做任何事情。”“Twitter现在有双因素认证(2FA),但你不一定要使用它。你应该。你最多只能客气地提出要求——否则就是经济利益冲突。
secorore的首席执行官Vishal Gupta说,尽管他相信大众会采用一种更快速、更容易的不同形式的认证,但他仍然认为这种认证不可能是强制的,这将是一个“漫长的过程”。
他说:“这非常类似于芯片卡和磁条卡,很多企业将不得不联合起来实现这一目标。”
事实上,就连联盟的执行董事Brett McDowell也同意,“强迫网络服务提供商做任何事情都是不可能的。”
但他说,FIDO目前拥有近250个成员组织,并没有试图强迫任何东西。他说,该组织的目标是让它变得不可抗拒——“提供一个他们(供应商)渴望实施的解决方案,因为这样做符合他们的自身利益。”
他说,一个能改善用户体验的认证系统“会把自己卖给服务提供商”。
布雷特•麦克道尔, FIDO联盟执行董事
的用户体验球场当然,这让它看起来很容易。有两种可能的方法:
- UAF(用户认证标准)只要求用户发出一个交易请求,然后显示生物特征,比如指纹。
- U2F(通用第二因子)需要在本地设备上登录和密码,然后用户插入一个USB加密狗,并按下它上的一个按钮来完成交易。
麦克道尔说,改变游戏规则的不同之处在于,与密码不同,身份验证凭证“总是存储在用户的设备上,而且永远不会离开。”攻击者需要将用户的设备拿在手里,甚至试图进行攻击。这没有规模,因此对于有经济动机的攻击者来说是不可行的。”
更不用说,如果有效的话,它会消除来自其他国家的威胁——甚至是来自邻近城镇的威胁。
他说,密码的问题不在于密码本身,而在于它们是个人用户和在线提供商服务器上的“共享秘密”,这些密码可能被数以亿计的人黑掉,也已经被黑掉了。它还为黑客提供了“用来攻击其他服务器的密码”。
麦克道尔认为,UAF和U2F对用户来说要快得多,也更方便,因为认证只需要“触摸传感器,看摄像头,或佩戴腕带等等”。它肯定比密码快,而且比一次性密码(OTPs)等传统的双因素身份验证形式快得多,也更方便。”
当然,一些专家指出,攻击者找到复制指纹、声音或虹膜扫描等生物特征的方法的风险越来越大。
“我不想给任何人提供我的虹膜版本,”McGraw说。“我已经把我的指纹交给了美国政府,他们很高兴地把它们交给了中国人。”
麦克道尔承认生物识别技术可以被欺骗——他称之为“呈现攻击”。但他说,FIDO标准消除了大部分风险,原因和之前提到的一样——生物特征信息永远不会离开用户设备。他说:“只有当攻击者拥有用户设备的物理所有权时,才能尝试对FIDO证书进行生物特征欺骗攻击。”“它不能通过社交工程、网络钓鱼或恶意软件来实现。”
古普塔同意,这可能会使攻击的代价更大,从而提高安全性。他说:“只要新的认证形式能够确保实施入侵的成本高于从入侵中获得的价值,我们就是安全的。”
不过,没人认为密码会很快消失。麦克道尔对FIDO标准持乐观态度,他说,他知道FIDO要成为"标准"还需要相当长的时间。
他指出,目前市场上有超过200种FIDO认证的实现,“超出了我的所有预期。”该联盟上个月还宣布,微软将把FIDO集成到Windows 10中该联盟还“与万维网联盟(World Wide Web Consortium)合作,在所有网络浏览器和相关网络平台基础设施上标准化FIDO强身份验证。”
但麦克道尔承认,“密码使用肯定会有一个‘长尾’。虽然我们已经看到大多数日常使用的应用程序和设备为用户提供fido认证,但在未来几年,密码将继续成为这些系统的一部分。”
McGraw是2FA的粉丝,他的公司也要求员工使用2FA,但他说,现实是,“没有十全十美的东西。”这将永远是一场军备竞赛。”
这个故事,“杀死密码:FIDO说长途旅行是值得的”最初发表于方案 .