运动消除密码已经持续发展了近十年。甚至有一些声明说,这可能是,或者至少应该是,它发生的那一年。
别抱太大希望。布雷特•麦克道尔是FIDO(快速身份在线)联盟的执行董事,他和其他人一样,是消除密码的热情倡导者。他说,鉴于主要基于生物识别技术的“新一代认证技术”的诞生,以及“数百家公司之间的大规模合作”来定义该技术的标准,这一天即将到来。
FIDO的目标,一个非营利性在2012年创建,是为了取代密码与它称之为“一个开放的,可扩展的,可互操作的一套机制,”安全认证。
但是麦克道尔去年秋天说过,上周又说过密码会“有一条长尾巴”,这种情况不太可能很快消失——今年肯定不会。
造成这种情况的原因有很多,尽管密码的安全问题是众所周知的,并且有很好的文档记录。正如Nok Nok实验室的首席执行官菲尔·邓克尔伯格所说,“用户名和密码的模式已经从根本上被打破了。”它从来就不是为现代社会的用例而设计的,而且天生就不能处理这些用例。”
布雷特·麦克道尔,FIDO联盟执行董事
当然,不仅仅是技术使得攻击者更容易入侵它们。用户经常会让它变得非常简单。他们使用简短、简单的密码,比如“管理员”、“密码”、“12345”等等,甚至不需要机器来猜测。他们继续在多个网站上使用相同的用户名和密码,因为他们知道自己将无法记住其中的几十个。
最新的Verizon数据泄露事件报告(DBIR)发现63%的数据泄露涉及使用被盗的、弱密码或默认密码。
即使用户确实有一些严格的密码,仍然有太多的人被诱骗泄露了他们的密码社会工程攻击。
然而,密码是认证系统中嵌入的一部分——大多数流行的网站仍然在使用它们——正如麦克道尔所说,要让它们消失还需要相当长的时间。
或者,正如帕洛阿尔托网络公司威胁情报云和安全订阅高级团队经理斯科特·西姆金所说,“我们有几十年的遗留系统和行为需要改变,行业需要几年时间才能赶上。”
Joe Fantuzzi, RiskVision首席执行官
除此之外,安全部门中至少有一些人说,我们应该谨慎对待自己的愿望。他们指出,网络罪犯总是能找到绕过安全改进的方法。因此,虽然生物认证——指纹、虹膜扫描、声音识别等——比密码更难破解,但它们可能不是灵丹妙药。如果攻击者能够找到窃取或欺骗它们的方法,那么更改或更新这些密码显然会比更改或更新密码困难得多。
事实上,已经有多个关于生物识别欺骗的报告。FireEye一年多前就报道过安卓设备的指纹数据可能会被盗这是因为,“一些设备上的指纹传感器只受到‘系统’特权的保护,而不是root权限,这使得它更容易成为目标,并悄悄收集任何使用该传感器的人的指纹数据。”
《日本时报》本月早些时候报道称,日本国家信息研究所(NII)的一个团队发现,人们简单地闪烁和平手势的良好数字图像可能会导致他们的沉默指纹数据被盗。
研究人员报告说,一个人的眼睛的高分辨率图像可以允许攻击者进行“隐形眼镜”的虹膜这将作为真正的身份验证。
已经有示威游行表明这是被操纵的一个人的声音录音可以欺骗认证系统。
的拥护者生物识别身份验证器不否认这些,但说他们的成功使用一个关键是他们只能呆在用户设备上的数据,与苹果的触摸一样ID。麦克道尔指出,密码的许多问题之一在于,它们是“共享秘密”——他们不仅存在于用户的设备,但还必须给一个网站的服务器,然后匹配他们什么是存储在数据库中。当这样一个服务器受到威胁时,数以百万计的密码同时被窃取,而这并不是用户的错。
Zohar Alon, Dome9的联合创始人和首席执行官
根据麦克道尔的说法,与密码相比,生物识别欺骗的风险是“无穷小的”。
由于生物认证数据从未离开过设备,“攻击者必须偷手机或电脑,即使试图攻击,”他说。“这没有规模,因此对出于财务动机的攻击者来说是不可行的。”
Veridium的首席执行官詹姆斯·史蒂克兰德(James Stickland)表示同意。“你可以花10美元从中国购买一套工具,用来复制和提取指纹。从Touch ID到印度政府使用的指纹传感器都证明了这一点,除了最昂贵的传感器,几乎所有的传感器都存在这个问题。”
“但只有当攻击者能够访问用户的设备时,这才会成为一个问题,所以攻击的时间窗口很低。”
当然,并非所有的生物识别技术都只保留在用户设备上。其中一些指纹将被存储在服务器上,比如数百万为政府工作或曾经为政府工作的人的指纹,或者被执法部门获取的指纹。
RiskVision的首席执行官Joe Fantuzzi表示,由于患者数据的存储,这可能会导致困扰医疗行业的同样风险。“整合客户生物特征信息将使所有公司成为攻击和攻击的有利可图的目标。勒索软件,“ 他说。
但那些崇尚密码的“死亡”说,其他关键安全认证就是安全专家一直在鼓吹了多年:多因素认证。
换句话说,他们并没有试图强制要求生物识别技术成为密码的唯一替代品。Dunkelberger表示,FIDO联盟正在使用他的公司开发的认证技术,其核心理念是“不是用生物识别技术取代密码,而是用任何一种强大的、安全的信号取代密码。”
麦克道尔表示同意。他说,许多FIDO实现都使用生物识别技术进行身份验证,但该规范是“技术中立”。
他说,是执行者决定它将支持什么机制。它可以是,“如果你愿意的话,一个用于用户验证的本地PIN码还是生物识别。”
他说FIDO规范“允许使用内置于设备认证程序,如生物识别或PIN,和/或外部,第二因子认证设备,如令牌或可穿戴的。”
从Stickland消息是相似的。“目前唯一的防御是多因素身份验证,使用两个或多个生物测定数据 - 例如,指纹和面部或语音。至少,指纹加一个长期的,随机密码将是一件好事。”
他说他的公司创建一个身份验证工具,“使用硬件的组合,安全证书,生物识别技术,和其他信息来验证不仅是生物,但是每一个远程设备和服务器之间的通信,主要是验证用户不仅是有效的,但是硬件用户使用同样也有一定道理。”
Simkin还说,应该对“所有关键资源和应用程序”使用多因素身份验证,“目前有很多可用的选项”。你要求攻击者花费的时间和资源越多,成功入侵的几率就越低。”
Jumio的首席执行官Stephen Stuut表示,各组织仍需在安全与便利之间取得平衡,因为登录网站过程中的“摩擦”可能会导致用户放弃使用该网站。
他说:“公司应该少关注单一技术,而应该关注满足业务需求和客户需求的正确组合。”“在这个过程中添加太多的步骤可能会增加放弃会话的情况,尤其是在注意力持续时间很短的手机上。”
所有这些听起来,密码可能在一段时间内仍然是多因素身份验证的一部分:你知道的东西、你拥有的东西和你是的东西。
Zohar的阿龙,Dome9的联合创始人兼首席执行官表示,他不认为他们会永远消失。“他们仍然证明身份并获得访问的最简单的方法之一,”他说。“我们可以不与彼此相关的认证和授权的多重因素影响,不能妥协一下子设计出更好的安全性。”
但史蒂克兰德说,他相信它们最终会被淘汰。“密码是痛苦的。我们忘记了它们,它们被偷走了,重新设置它们需要花费时间。总有一天,新技术会胜出。”
这个故事,“废除密码是走了很长的路要走”最初发表CSO 。