谷歌身份与安全产品经理克里斯蒂安·布兰德表示:传统的密码验证模式已经不再适应当前的数字化应用发展水平,不仅用户体验感差,而且其技术本身也容易被恶意破解、钓鱼诈骗以及违规使用。而通过此次发布的Passkey技术,则可以有效避免这些问题的出现。
在保护用户网络安全的战场上,密码一直都站在最前沿。但密码技术本身,也有着易遭破解、难于记忆、管理不便等不足和应用挑战。在今年的世界密码日前夕,Google公司正式发布了一项新服务—— 通行密钥(Passkey),帮助用户以更简单、更安全的方式登录谷歌账号,以取代传统的密码口令登录模式。
谷歌身份与安全产品经理克里斯蒂安·布兰德表示:传统的密码验证模式已经不再适应当前的数字化应用发展水平,不仅用户体验感差,而且其技术本身也容易被恶意破解、钓鱼诈骗以及违规使用。而通过此次发布的Passkey技术,则可以有效避免这些问题的出现。
传统密码口令已死?
全球有数十亿用户每天都在不同设备上使用密码作为应用系统的登录口令,虽然密码的重要性不容小觑,但糟糕的密码管理和使用方法比比皆是。据2022年《Verizon数据泄露事件报告》数据显示,超过80%的数据泄露是由于被窃取或破解的账户密码所引发,但很多用户并没有意识到潜在的危险。
在采用密码技术之后,很多企业和个人都认为可以有效保护系统和敏感数据的访问安全。然而,传统密码登录验证模式的缺陷也非常明显:
首先,密码口令在本质上就是不安全的,它们可能被盗、被猜测或被暴力破解,特别是随着计算能力的提升,传统密码技术被破解的难度在不断降低;
其次,但很多情况下,用户并不了解如何正确使用(或设置)密码,弱密码和密码重用的情况普遍存在;
此外,我们每个人都在使用十多个甚至近百个密码,如何记住这么多的用户名和密码组合,还要定期更改,在管理上并不容易。尽管密码管理器可以帮助用户管理复杂密码,但也只是一个折中措施,无法从根本上保证安全性。
由于以上难以解决的不足和挑战,企业面临的最大安全风险之一就是将不安全的密码技术作为身份验证的主要方法。在此背景下,包括微软、苹果和Google在内的领先科技厂商都在积极开发一种更先进的无密码登录技术和标准,以实现更高的安全性和保护性。而本次Passkey服务功能发布,则是替代传统密码验证技术的一个重要标志。
Passkey其实并不是一种新技术,而是密码学中“非对称加密”在登录认证中的一种创新应用。Passkey可以被理解为是“生物密码”技术 和 “授权登录” 技术的结合。用户可以在Android 手机上创建一个基于公钥加密的密钥凭据,并需要对该凭据进行生物特征识别,比如 “指纹” 或者 “面部识别” 等。与传统密码相比,Passkey可以给用户带来更好的使用体验,而且能够更好地应对凭据盗窃、网络钓鱼和社会工程欺诈等攻击。
通行密钥推广应用的挑战
据布兰德介绍,Google计划在未来几个月重点推广Passkey,并敦促用户将传统的密码登录方式转换为Passkey。尽管我们非常期待以Passkey为代表的无密码技术带来易用性、安全性和广泛性等多维度的变革,但是要在更多企业组织中推广应用类似Passkey技术可能并不容易。
研究人员发现,阻碍无密码登录技术应用的关键因素并不是技术本身的缺陷或限制,而是由于很多企业中身份和验证管控的现状。很多企业中,身份管理和身份验证仍然是相对独立的,而很多广泛使用的应用程序在设计开发时,并没有合理考虑如何支持通行密钥等无密码登录验证新模式。尽管Passkey是一种解决身份安全验证和用户体验的有效办法。但是只有消除身份管理和身份验证之间的隔断,该技术才有希望真正在更多企业中落地应用。
此外,通行密钥要真正取代传统的密码验证方法,还必须能够广泛适配企业复杂的数字化环境,包括能够兼容各种网站应用、智能手机和桌面应用程序,同时还要支持数量众多的操作系统版本和环境。这对服务提供商将是一个棘手问题,因为这意味着必须在所有这些环境中安全、稳定、便捷地共享使用密钥,要实现这种互操作性并不容易。
同时,面向企业级用户和面向消费者的通行密钥解决方案在设计和实施上也会存在巨大差异。消费级产品主要需求是管理数百万个通行密钥,需要弹性扩展能力以支持这种巨大的工作负载。而企业组织更希望让所有员工能够更安全地在各种设备、浏览器和网站之间实现互操作性,因此需要将密钥与使用者的身份进行强验证和绑定。
诚然,无密码技术应用的时代已到来。但是要构建企业级通行密钥解决方案还需要研究人员继续努力。也许到了2024年的世界密码日,我们就可以看到传统密码验证技术的真正消亡。
责任编辑:姜华来源: 安全牛
