微软最近通过Authenticator服务,让微软账号直接无密码登录,许多评论认为这打开无密码时代,但所谓“无密码应用”相关技术早就存在,甚至医保快易通登录都有利用相关无密码技术。
在科技渗入生活的时代,密码成为我们不得不为的技术,无论网络银行、社群软件或电子商务,各类密码充斥生活。密码加入公钥或对称密钥等技术后,许多人认为越复杂的密码就代表越能保障安全,但密码早就没法真正保护数字资产──况且这个密码需求多样化时代。
现在托加密密钥的福,要真的“破解”密码并不容易,所以通常取得密码或账号的渠道是找到程序或网站后门,甚至计算机植入木马等是最常见的破解法,换句话说,攻击者会利用各种方法诱骗你点击某些不明连接,以攻击你取得各种个人信息。
密码托管技术
这类技术是最常见的密码相关技术,比较直接的就像1Password、Dashlane、Elpass等服务:将密码存储于他们的服务,只需记住主要密码就可以,但要注意这些安全机制就是“连他们本身都找不回你的密码”,所以一旦忘记主密码就糟了,这种情况最常发生在经常使用Touch ID或指纹识别打开1Password的人。
另一种密码托管是让Google或苹果平台商记住密码,并输入计算机密码、指纹识别等协助你自动填入密码,同时这些服务还会协助你制作高强度密码,让密码不容易被猜透。但自动创造高强度密码的“技术”,现今看没有太大意义。比起会被攻击或测录知道密码的技术来说,使用特殊生物特征识别更不容易被窥探,同时也没有忘记密码的风险。
采用密码外识别的FIDO认证
FIDO是Fast Identity Online简称,使用特定硬件或生物特征为身份验证的工具,如指纹、角膜、经认证的特定手机应用、手机号码。简单来说,可证明你是谁的工具都能成为取代密码的“钥匙”,这就是FIDO联盟倡导“解决大量用户密码”的方法,同时也提供公钥加密技术。
微软与Google都有推出Authenticator服务,如果用户首次登录某设备(有些设备或服务会因不让服务识别设备且更换IP,需重新登录),输入密码后,还需要输入Authenticator固定更换的密码才能登录。Apple ID则把认证码放在长期登录的设备,以确认登录新设备的Apple ID是本人无误。
这类密码上“再加防护”,如跳过原有密码认证效果,安全性不会打折──因通过生物认证或特定公钥的认证,远比传统密码安全可靠。如果最近有领五倍券、因疫苗申请医保卡账号的人,会发现医保卡除了原本密码,还需要输入一次发送到你手机短信的医保OTP验证码,就是类似加密技术,拥有这些技术就可无密码登录,这些技术之所以保留密码,主要是让用户安心。
不过本文使用“远比……可靠”、“比较可靠”等语并不代表“绝对可靠”,这世界并不存在绝对安全的密码存储或登录模式,也没有永远不被破解的加密技术。宣称保护8万员工不再遭入侵的Google Titan硬件密钥就被白帽黑客破解──令人庆幸的是要破解这密钥难度不低。
有90%的Gmail用户没有加入两阶段认证
目前Google、微软等大公司都是FIDO联盟会员,拥有大量Touch ID、Face ID资料的苹果也于2020年初成为FIDO联盟一席。Google、苹果都在用自己的方法解决无密码登录问题:Android于2019年加入蓝牙连接,让手机权充硬件密钥打开计算机的方法;苹果今年加入以Apple Watch解锁iPhone的功能,以解决无法使用Face ID解锁手机的窘境。即使联系设备密钥的蓝牙标准被批评安全系数太低,但这些公司都在想方设法解决不再安全的网络环境,想办法让用户用更多密码。
当生物识别精准度越高,要仿造生物识别或错认难度就越高,这也是为什么苹果宁可保留刘海,也不放弃Face ID识别技术──因通过相机镜头的脸部识别精准度差异太大。
据统计,90%的Gmail用户仍然没有打开二阶段认证──即使Gmail已成为许多人公私都用有的重要邮件系统,许多人还对自己的账号安全掉以轻心。换句话说,即使增加再多技术,许多人都宁愿要“方便”舍弃“安全”,这对提供服务的大公司来说才是令人头痛之处──况且过于依赖手机,就是许多人换手机时会历经痛苦的解锁到重新绑定过程。
现在主流程序大都使用两阶段认证,就用吧!与刷卡后短信通知一样,这些小动作大部分会增加一点困扰,但让手机资料更安全。
