此役避免使用密码一直在进行,而且越来越多,为近十年。甚至有一些声明,这可能是一年,或者至少应该是这一年,它发生。
不要屏住呼吸。布雷特·麦克道尔的FIDO(快速的在线身份)联盟的执行董事,被多情消除密码任何人的倡导者。他说,这一天的到来,给创造的,“新一代认证技术”很大程度上是基于生物识别技术,以及“数以百计的公司之间的合作海量”来定义该技术标准。
FIDO是一家成立于2012年的非营利机构,它的目标是用它所称的“一套开放的、可伸缩的、可互操作的机制”来取代密码,实现安全认证。
但麦克道尔说,去年秋天,和过去的这个星期说了一遍密码会,“有一个长长的尾巴,”这是不太可能很快消失 - 今年肯定不行。
有许多的原因是什么,即使有密码的安全问题是众所周知的,有据可查的。作为诺克诺克实验室的首席执行官Phil Dunkelberger,把它“的用户名和密码的模式从根本上打破。这是从来没有设计,且本质上不能满足现代社会的用例。“
布雷特·麦克道尔,执行董事,FIDO联盟
当然,它不是已经使得它更容易为攻击者妥协的人不仅仅是技术。用户经常使它可笑容易为好。They use short, simple passwords that wouldn’t even take a machine to guess – like “admin,” “password,” “12345,” etc. They continue to use the same user name and password for multiple sites, since they know they won’t be able to remember a couple dozen of them.
最新的Verizon的数据泄露事件报告(DBIR)发现所有数据泄露的63%涉及使用被盗,弱或默认密码。
而且,即使用户确实有几分严谨的密码,太多仍可被欺骗,让他们通过走社会工程攻击。
然而,密码认证系统,如嵌入式部分 - 最受欢迎的网站仍使用它们 - 那,麦克道尔说,这将需要相当长的时间让他们消失。
或者,正如斯科特Simkin,高级部门经理,威胁情报云和安全订阅在帕洛阿尔托网络,把它,“我们有几十年的传统系统和行为的变化,这将需要几年的行业追赶。”
乔FANTUZZI,CEO,RiskVision
除此之外,至少有一些在安全社区谁说,我们应该小心我们所希望的。他们指出,网络犯罪分子一直觉得周围安全的每一个进步的一种方式。因此,尽管生物识别凭据 - 指纹,虹膜扫描,语音识别等 - 困难得多妥协比密码,他们可能不是灵丹妙药。如果攻击者可以设法窃取或欺骗他们,那显然会更加难以改变或更新比密码。
事实上,已经生物识别欺骗的多份报告。FireEye的报道一年多以前,指纹数据可以从Android设备被偷走三星,华为,HTC和制造,因为“在某些设备上的指纹传感器通过,而不是根目录下的‘系统’特权只把守,使其更容易瞄准,静静地收集任何人谁使用传感器的指纹数据。”
日本时报本月早些时候报道说,一个团队在信息学(NII)的日本国立研究所发现的人只是闪烁的和平标志一个良好的数字图像可能会导致其指纹数据被窃取。
研究人员报告说,一个人的眼睛的高分辨率图像可以让攻击者作出一个“接触透镜”虹膜这将通过作为认证真实的东西。
还有已经被示威被操纵一个人的声音的录音可以欺骗认证系统。
的支持者生物识别鉴定人不否认任何这一点,但说一个关键的成功使用是从他们的数据停留在只有用户设备,如与苹果的Touch ID的情况。As McDowell notes, one of the many problems with passwords is that they are “shared secrets” – they exist not only on users’ devices, but also have to be given to a website’s server, which then matches them with what is stored in its database. When such a server gets compromised, millions of passwords get stolen at the same time, through no fault of the user.
Zohar的阿龙,Dome9的联合创始人兼首席执行官
据麦克道尔,生物识别欺骗的风险是“无穷小”相比,该密码。
由于生物计量凭证数据永远不会离开该设备,“攻击者必须窃取手机或电脑甚至尝试的攻击,”他说。“这不结垢,因此是不可行的财务动机的攻击。”
Veridium的首席执行官James Stickland,同意。“你可以从中国购买的套件$ 10来复制并提取指纹。这已经显示出从触摸ID指纹传感器工作,用于印度政府的设备,是一个问题,几乎所有的,但最昂贵的传感器,”他说。
“但这只是当攻击者访问用户的设备出了问题,所以攻击的时间窗口是相当低的。”
当然,并不是所有的生物识别技术仅停留在用户设备上。有些人,如百万谁的工作,或工作过,对于政府或采取执法人的指纹,将存储在服务器上。
RiskVision的首席执行官Joe FANTUZZI,称这可能会导致困扰医疗行业,因为它的存储患者数据的相同风险。“将客户的生物特征信息实际上将使所有企业有利可图目标攻击和ransomware,”他说。
但那些提倡密码“死亡”的人表示,安全认证的另一个关键是安全专家多年来一直倡导的:多因素认证。
换句话说,他们是不是要强制要求生物识别技术是密码的唯一替代品。Dunkelberger,谁说FIDO联盟使用的认证技术,他的公司创建的,说的核心理念,“不以取代生物密码,而是使用任何形式的强,安全的信号来代替密码。”
麦克道尔表示同意。他说,许多FIDO实现确实使用生物识别技术进行身份验证,但这些规范“与技术无关”。
这是执行者,他说,谁决定它会支持什么样的机制。这可能是,“在用户认证与生物当地的PIN码,如果你喜欢。”
他说FIDO规范“允许在设备中内置身份验证器,如生物识别或PIN,和/或外部第二因素身份验证器,如令牌或可穿戴设备。”
来自史蒂克兰德的信息与此类似。目前唯一的防御方法是多因素认证,使用两种或更多的生物识别技术——例如,指纹和面部,或声音。至少指纹加上一个长而随机的针就可以了。”
他说,他的公司创造了一个验证工具,“使用硬件,安全证书,生物识别等信息的组合,不仅验证了生物识别,但远程设备和服务器之间的每一次沟通,基本确认,不仅是用户有效,但用户使用的硬件也是有效的。”
也Simkin说多因素身份验证,“今天这其中有许多可供选择,”应使用“对所有关键资源和应用程序。将更多的时间和资源,你需要攻击者花费的降低成功的违约的可能性“。
斯蒂芬Stuut,Jumio的CEO表示,企业仍然要与便利平衡安全性,因为“摩擦”,在签署过程到一个网站可能会导致用户只需放弃它。
“公司应该少注意一个单一的技术,而是在满足他们的业务需求和客户需求的正确组合,”他说。“添加太多的过程步骤可能会增加会话放弃,特别是在移动设备上,这里注意跨度很短。”
所有这一切听起来像,密码可能会维持一段时间的多因素认证的一部分:你知道吗,你有你的东西,一些东西。
Dome9的联合创始人兼首席执行官Zohar Alon说,他认为他们永远不会消失。“它们仍然是证明身份和获得访问权限的最简单方法之一,”他说。“我们可以设计出更好的安全机制,将身份验证和授权的多个因素结合起来,这些因素互不相关,不可能同时受到危害。”
但Stickland说,他相信他们最终会变得过时。“密码是痛苦的。我们忘记他们,他们是偷来的,它的耗时将它们重置。在某些时候,新技术将获胜。”
这个故事,“废除密码还有很长的路要走”最初是由CSO 。