真實(shí)存在的問題

MobileIron最近委托對(duì)200名高管和其他負(fù)責(zé)網(wǎng)絡(luò)安全決策的人進(jìn)行了一項(xiàng)調(diào)查，調(diào)查對(duì)象大多是雇員超過1000人的公司。接受調(diào)查的人表示，他們通過刪除密碼來將被入侵的風(fēng)險(xiǎn)降低一半。從更廣泛的用戶調(diào)查中還發(fā)現(xiàn)，近一半的支持請(qǐng)求與密碼或多因素鎖定有關(guān)。

90％的網(wǎng)絡(luò)安全負(fù)責(zé)人表示，被盜的證書導(dǎo)致了未經(jīng)授權(quán)的訪問嘗試，而高達(dá)86％的人表示，如果可能的話，他們會(huì)放棄密碼的使用。

這些問題和態(tài)度，是在安全專家和IT專家多年來試圖勸阻公司和個(gè)人不要把密碼作為最重要的安全手段之后出現(xiàn)的。

FIDO （Fast ID Online）聯(lián)盟成立于2013年，旨在消除密碼作為最重要身份驗(yàn)證元素的模式。該組織的成員幾乎包括所有主要的金融、電信、網(wǎng)絡(luò)和軟件公司，包括美國(guó)運(yùn)通、亞馬遜、谷歌、Facebook和微軟。（ 除了AT＆T和蘋果，幾乎所有公司都參與其中。）

FIDO強(qiáng)調(diào)使用公鑰，這是一種簡(jiǎn)潔的數(shù)學(xué)驗(yàn)證方式，它允許人們擁有一個(gè)秘密的“私有”密鑰，同時(shí)分發(fā)一個(gè)成對(duì)的公鑰，用于證明他們的身份，或者加密只有他們才能解密的消息。當(dāng)使用一個(gè)支持FIDO的U2F（通用雙因素）標(biāo)準(zhǔn)的網(wǎng)站時(shí)，用戶首先注冊(cè)并通過多種方式證明自己的身份，包括注冊(cè)一個(gè)硬件令牌——來自于像yubikey這樣的公司，該公司構(gòu)建了一個(gè)防篡改的獨(dú)特的公鑰／私鑰對(duì)。

在隨后的訪問中，使用U2F的訪問者仍然將輸入密碼作為第一步，然后單擊生成和傳輸簽名消息的U2F硬件密鑰。與大多數(shù)登錄不同，驗(yàn)證也是雙向的：用戶和站點(diǎn)都透明地提交安全憑據(jù)，以證明其身份，這有助于防止釣魚攻擊。（Web安全證書的工作原理與此類似，但并不是專門為保護(hù)用戶帳戶而設(shè)計(jì)的。）

現(xiàn)在想象一下上面的場(chǎng)景，它完全不涉及密碼。這就是該聯(lián)盟的目標(biāo)，一系列名為FIDO2的新標(biāo)準(zhǔn)使其離現(xiàn)實(shí)更近了一步。

通過FIDO2，該規(guī)范得到了擴(kuò)展，不僅允許聯(lián)盟早期需要的獨(dú)立硬件密鑰，還允許任何擁有一個(gè)經(jīng)過加固的、獨(dú)立的安全芯片的移動(dòng)和桌面硬件，來處理加密和生物特征識(shí)別。這包括蘋果的Secure Enclave，自2013年以來，每一款新iPhone都有這個(gè)Secure Enclave；現(xiàn)代Android手機(jī)中的各種芯片都遵循類似的原則；以及在許多臺(tái)式機(jī)和筆記本電腦可以找到的可信平臺(tái)模塊（TPM）芯片。而這顯然正在成為一個(gè)標(biāo)準(zhǔn)特征。

FIDO2可以讓應(yīng)用程序和網(wǎng)站在超過10億臺(tái)設(shè)備上，甚至是20億臺(tái)設(shè)備上，獲得類似蘋果支付的登錄體驗(yàn)，而不需要用戶額外的輸入各種密碼。

去年，微軟為其賬戶采用了幾種不同的無密碼登錄選項(xiàng)，其中一些選項(xiàng)依賴于FIDO2。今年2月，谷歌宣布，任何運(yùn)行version 7及以后版本的Android設(shè)備都符合FIDO2標(biāo)準(zhǔn)，為大量用戶帶來了無密碼登錄服務(wù)。

目前，蘋果似乎是任然是堅(jiān)持不改變的一方，盡管它允許第三方應(yīng)用程序（但不允許網(wǎng)站）在注冊(cè)后使用Touch ID和Face ID進(jìn)行身份驗(yàn)證。如果該公司將其列為優(yōu)先事項(xiàng)，這可能是支持FIDO2基于web的登錄標(biāo)準(zhǔn)跨出的一小步。

現(xiàn)在正是時(shí)候

如果十年前我告訴你，你應(yīng)該扔掉你的密碼，你一定會(huì)認(rèn)為我瘋了，因?yàn)榈侥菚r(shí)為止的一切都表明，我們需要更好、更強(qiáng)大、更長(zhǎng)的密碼，來對(duì)抗似乎每天都在出現(xiàn)的入侵。

但10年的賬戶泄露事件表明，許多大小公司在保護(hù)密碼方面都做得很糟糕。它還表明，許多用戶選擇弱安全性的密碼，盡管我們不應(yīng)該責(zé)怪他們，因?yàn)槿趺艽a是對(duì)糟糕設(shè)計(jì)的系統(tǒng)的最佳應(yīng)對(duì)方案。

現(xiàn)在是廢除密碼的時(shí)候了，像MobileIron這樣的公司也在為企業(yè)提供無密碼服務(wù)，谷歌和微軟也在為同樣的消費(fèi)者提供無密碼服務(wù)，我們終于可以揮手告別那令人討厭的密碼安全體系了。

而未來的解密方式可能只需要一個(gè)簡(jiǎn)單的一瞥。正如MobileIron的Biddiscombe所說，“我只需要盯著我的設(shè)備，我的設(shè)備就知道是我，企業(yè)就會(huì)為我提供我所需要的各種服務(wù)。”