本文来自极客网,作者/小菲。
在今年“世界密码日”(5月4日)到来之际,谷歌宣布“密码已经开始终结”,该公司推出的“Passkey”密钥技术将作为拥有谷歌账户用户的另一种登录方法。
虽然密码被广泛认为是最薄弱的网络安全选项之一,但其普遍性意味着它不太可能很快被淘汰,谷歌终结密码的说法可能有些离谱。
谷歌推出Passkey,作为密码的更安全替代方案
谷歌推出Passkey以响应世界密码日。Passkey这种密钥技术使用指纹和面部扫描等生物识别技术,允许用户解锁设备并登录应用。
密钥保存在本地设备上,一旦输入,应用和操作系统就会在幕后将私钥交换为登录签名。然后由操作系统生成一个公钥以供验证,并授予用户访问权限。
这种替代方法没有凭据,使得网络钓鱼攻击的效果显著降低。它也不需要用户记住复杂的密码来访问他们的应用,而如今很多人在多个账户或平台上采用相同的密码。
谷歌、苹果和微软等大型科技企业已经加入了线上快速身份验证(FIDO)联盟来支持这一举措,并于去年宣布了这一合作关系。生物识别、密钥和多因素身份验证(MFA)等密码替代方案已经被证明是一种安全且受欢迎的措施。
谷歌已经与Docusign、Kayak、Shopify和雅虎日本等应用提供商建立了密钥合作关系。谷歌在一篇名为《密码终结的开始》的博客文章中表示:“拥有谷歌账户的用户可以选择这一选项,他们可以尝试无密码体验。”
密钥有多受欢迎?用户仍持谨慎态度
总的来说,用户对新的安全技术仍持谨慎态度。在密码管理软件供应商1Password今年早些时候进行的一项调查中,只有25%的受访者表示了解“无密码”的概念。与此同时,38%的受访者表示,他们在尝试新技术之前需要确保其安全可靠,只有19%的受访者表示,他们肯定会在密钥可用时使用密钥。
尽管如此,77%的受访者表示,他们希望有一种更安全的方式登录自己的在线账户;91%的人担心数据泄露;四分之一的受访者表示有“与数字安全相关的遗憾”,他们希望自己能更好地应对数据泄露事件或创建更好的密码。
1Password表示,用户中更具实验性的是那些准备接受新技术的人,经常使用生物识别技术87%的受访者表示,他们对使用密钥持开放态度。
密钥不会替代密码,密码将会一直存在
但Malwarebytes的网络安全传道者Mark Stockley表示,消除互联网上不安全的密码仍然是一个遥远的梦想。他说:“60年来,全球几乎所有的计算机系统都使用密码。用户很容易理解和使用它们,组织也很容易实施。”
除非密钥认证被广泛理解和使用,并且对开发人员来说比密码更容易实现,而且对组织来说更容易支持,否则人们仍然会创建依赖密码的产品,这就是获得科技巨头的支持如此重要的原因。”
谷歌推出的Passkey可以作为一种可行的替代方案,是向这种广泛使用迈出的一大步。1Password的无密码业务主管Anna Pobletts说:“密钥是消除人为错误的第一种身份验证方法,提供了安全性和易用性。随着谷歌对密钥的支持,全球15亿人现在有机会使用密钥。”
为了被广泛采用,用户需要能够选择他们想要在何时何地使用密钥,这样他们就可以轻松地在生态系统之间切换。她说,“当我们积极与其他FIDO联盟领导人合作消除密码时,我们将删除网络钓鱼者可以窃取的凭据。这是密钥应用的转折点,将让网络世界变得更加安全。”
安全供应商CatoNetworks的EMEA地区产品经理Andrea Napoli表示,从理论上来说,完全摆脱密码将使网络环境更加安全。但他也不认为这种情况会很快出现。
他说:“虽然指纹扫描、面部识别和虹膜扫描等生物识别认证方法越来越普遍,MFA系统也越来越流行,但密码仍然被广泛使用,因为人们对密码很熟悉,容易实现,而且在正确使用时相对安全。”
他认为,在不久的将来,肯定会出现能够取代密码的新身份验证技术,但任何此类技术都需要高度安全和用户友好才能得到广泛采用。