防病毒和防火墙:Web身份验证:为什么密码不会这么快消失

Anonim
Großraumbüro, Datenspionage, IT-Security, Passwort, gesperrt, Zugang, 16:9, slider
开放式办公室,数据间谍活动,IT安全,密码,锁定,访问,16:9滑块
照片:登高(Den Rise)-shutterstock.com

比尔·盖茨(Bill Gates)早在2004年就说过,该技术已经过时了,随着最近的发展,密码的反响变得更加响亮。 但是,到目前为止,它在理论上捍卫了其作为最受欢迎的日期监护人的地位。

尽管替代方案仍在开发中,甚至完全可用,但它们几乎总是对技术有更高的要求,或者需要更多的时间和精力来进行安全设置。 在过去的几年中,在生物特征认证领域中已经有了许多新的解决方案。 相对凉爽,相对较新的技术已成为主流,尤其是得益于更新的智能手机型号,Apple,Microsoft或Samsung在其中使用指纹和面部识别作为标识。

无疑,生物识别技术具有许多安全优势-但是经过验证的密码不会很快消失。 这有充分的理由。

在大多数情况下,没有密码就无法进行安全的多因素身份验证

对于敏感应用程序,现代服务应支持多因素身份验证,该应用程序应结合三种常用身份验证方法中的至少两种。 他们可以在

1.你知道的

2.您拥有的东西和

3.你是什么

在方法1(当今最流行)下,删除了诸如密码和个人标识号之类的东西。

第二种方法涉及诸如USB记忆棒,用于生成一次性密码的基于时间的令牌之类的硬件。该方法通常还包括在智能手机等设备上实现但可以复制或复制的所有权因素(例如,基于软件的一次性密码生成器)。

spoods.de

作为第三因素的生物特征识别是人的独特特征,例如虹膜,视网膜或指纹,而且是面部的面相。

新标准(例如W3C Webauthn设计)使将外部因素(例如USB记忆棒或安全保护区)集成到智能手机中变得更加容易。 但是,当用于单因素身份验证模式时,它们会限制整体安全性结构-暂时使密码成为安全性组合中必不可少的组成部分。

安全问题也是需要保护的知识的证据

我们所有人都已经设置或回答了基于知识的安全性问题,例如询问宠物或喜欢的艺术家的名字。 尽管Google的研究表明此类问题不适合恢复或验证密码,但许多服务仍使用此方法来简化帐户恢复-某些服务实际上需要安全性问题和解答被设置。

为避免使用可通过您自己的社交媒体配置文件轻松访问的答案,最好使用不正确甚至随机生成的答案。 但是,这些答案在概念上与密码凭据非常相似,应以相同的方式加以保护。

您无法更新生物特征数据

毫无疑问,生物识别数据是密码的一种方便替代方法-但是就像密码一样,它们也可能被盗。 例如,在我们触摸的所有东西上都留下了指纹。

去年,日本科学家警告说,除其他外,智能手机的新高分辨率相机可能会在这里带来风险。 因为研究人员能够根据距对象三米远的照片复制指纹。

密歇根州立大学的研究人员再次使用喷墨打印机和特殊纸张将高质量的指纹扫描转换为伪造的3D指纹,这些指纹欺骗了智能手机-所有这些设备的价格都低于500美元。 因此,无害的手指状和平标志将成为潜在的安全漏洞。

显示

勒索软件的新趋势

Neue Trends bei Ransomware - Foto: Lagarto Film - shutterstock.com

该网络广播概述了网络罪犯计划在将来针对勒索软件采取的措施。

立即免费注册!

生物识别技术与黑客密码一样不安全。 2014年,在中国政府工作的黑客可以使用美国人事管理办公室(OPM),美国人事管理局的计算机系统,并从政府雇员和承包商那里窃取了敏感的个人信息,包括560万人。 而且与密码不同,指纹和其他生物特征无需重置。

在Instagram和Co时代,操纵面部识别也变得非常容易。 未来派的方法是使用灵活的生物识别数据,例如“ passthoughts”。 您想到特定的事物或时刻,然后传感器记录产生的脑电波。

尽管这样一个复杂的系统在高度敏感的地区肯定会存在问题,但从中期来看,访问私人电子邮件帐户的规模似乎太大了。

生物识别数据绑定到设备

我们的生活方式是移动和互联的,并且我们正在通过越来越多的设备访问我们的帐户。 无论设备和位置如何,密码都保持一致,而生物识别数据目前(可能在可预见的将来)只能通过适当的设备(例如相机或指纹传感器)使用。

例如,尽管最新的iPhone具有最先进的面部成像传感器,并允许用户仅用脸部来解锁设备,但该技术在设置过程中仍需要输入密码才能对手机内部存储器中的数据进行编码。 每次重新启动手机时,或者由于某些原因生物识别不起作用时,都必须输入密码。

这就是为什么新的识别方法(如Mobile Connect)最终不会没有密码的原因。 此外,在大多数现代生物识别应用程序中,捕获是系统固有的本地操作,并且只能显示该特定设备的敏感数据。 幸运的是,没有使用生物识别技术进行集中身份验证的通用数据库。 从而完全替代了备份密码或PIN,从而完全消除了生物识别过程。

生物识别覆盖范围并不总是中立的

收集的生物特征数据绝不是假定的那样中立。 例如,麻省理工学院的研究人员发现面部识别系统本质上是针对白人的。 大约35%的深色皮肤妇女被分配了错误的性别,以图进行尝试。 甚至亚洲体系也认识到亚洲面孔要比欧洲面孔好得多。

相比之下,密码自然是中性的。 与面部识别不同,您可以控制它们。 此外,并非每个人都可以使用所有生物特征功能-在多种情况下,可能无法进行基于眼睛的生物特征或指纹捕获。 最终,只有少数生物特征测量(例如DNA序列)才真正普及。

无法使用生物识别技术加密数据

虽然生物识别技术可以充当敏感数据的有效网守,但该技术受到限制:它可以授予或拒绝访问,但不能轻易用于其他安全措施(例如加密)。 因为要真正保护数据安全,必须对其进行加密-密码有时是唯一的秘密保护者。

最后但并非最不重要的一点是,到目前为止,密码是唯一可普遍使用的方法,并且可以在每种情况下,在每个设备和每个位置上使用,并且对于所涉及的人员而言,它是完全公正的。 由于从开发人员的角度来看,基于密码的身份验证非常容易实现,因此可能会持续更长的时间。

实际上,无论是用于多因素场景还是作为紧急身份验证方法,密码或PIN在将来都将继续发挥作用。 使用密码时,用户可以完全控制其安全性-当然,更好的做法是使用提供额外安全性级别的专业密码管理器。 (计算机世界)