◤智创脉动◢无密码登录要来了?
许多人对密码的格式要求非常低,只求容易记,却容易被骇客破解;现实中,要无密码技术并非易事,但通过实施多重要素验证、建立对设备的信任、利用单点登录和实施自适应登入条规,来减少对密码的依赖,已是可行……
ADVERTISEMENT
ADVERTISEMENT
自古以来,人类使用密码做为保密信息与保护财物的工具,例如解锁手机、登入各种作业系统,甚至在提款机提款都需要输入密码,方能完成提款或查询动作。
密码的功能就像一把锁头,保护着你的个人信息及财物,但偏偏许多人对密码的格式要求非常低,只求容易记,不管密码是否容易被骇客破解。
根据密码管理服务NordPass公布的一份调查显示,大众最喜欢设置“123456”、“password”、“qwerty”、“111111”等为密码,而这些密码无需1秒便能被破解。
由于大众将密码设得太简单,或为了更容易管理多个账号而一再使用相同密码,导致网络安全漏洞,因此,美国科技巨擘联合宣布支援一项通用标准,用户将透过解锁手机登入网站及应用程式,例如指纹或脸部辨识。
在今年的5月5日的世界密码日(World Password Day),苹果(Apple)、谷歌(Google)和微软(Microsoft)宣布与FIDO联盟(Fast IDentity Online Alliance)合作,为更多网站和应用程序提供安全便捷的无密码技术。
FIDO联盟推广的无密码登录方式,除了提升用户体验和保护个人账号信息安全外,可以让服务提供商提供FIDO凭据,用于账户意外丢失后的恢复;这种方式也被认为对残障人士和老年人用户更为友好。
分阶段实行无密码技术
现实中要无密码技术并非易事,尤其需要处理大量用户、大量应用程序、混合基础设施和复杂的登录流程,目前只能分阶段实行。
随着技术的不断发展和用户使用率的提高,尽管完全消除密码的目标仍然很遥远,但通过实施多重要素验证(Multi-Factor Authentication,MFA)、建立对设备的信任、利用单点登录(Single Sign-On,SSO)和实施自适应登入条规,来减少对密码的依赖,已经是可行。
即便现在业界已有FIDO这类技术标准,但要普及化,还需要更多企业参与,才能让整个产业在身分识别标准方面达成共识,之后共同推进无密码化的进程,从而在真正方便用户的同时,保护个人信息和数据安全。
无密码技术如何运作?
无密码技术是指用户可以将手机作为主要验证工具,来取代传统的手动输入密码,实现身分认证的技术。
当注册账号时,系统会检测手机硬件信息并将账号与其绑定,后续登录账号时,应用与手机对接,用户使用指纹、脸部识别或设备密码锁等方式即可完成账号登录,而无需手动输入密码,从而降低被盗用或骇客入侵的风险。
未来,用户手机将存储一个称为密码的FIDO凭据,用于解锁你的在线账号,这会使登录更加安全,因为它基于公钥加密,并且仅在用户解锁手机时显示给你的在线账户。
当用户要在电脑上登入网站,用户只需将手机放在附近,系统就会提示用户解锁手机以登入。完成此操作后,用户将不再需要手机,只需解锁电脑即可登录。即使用户丢失了手机,密钥也会从云备份安全地同步到新手机,让用户可以继续使用。
如何让密码变得更安全?
大多数的资安问题,其实都是来自于用户的无知、粗心、没注意的情形下泄露出去,或者用太简单的密码所导致。
在无密码技术尚未实行之前,提高密码的破解难易度极为重要,以下是设定密码的10大原则:
1.为每个账号设置不同的密码,不要重复使用密码,特别是那些较为重要的账户,否则一旦有一个账户的密码被盗,其它的账户都会面临严重的风险,例如个资泄漏及钱财损失。
2.密码越长,就越难被破解,若情况允许,最好是长于12个字。
3.使用大字母、小字母、数字和符号做为组合。
4.不要使用个人信息,或者其他人容易知道或猜出来的信息做为密码组合,比如出生日期、宠物名字和车牌号码等。
5.不要随便和他人分享密码,即使是亲人或朋友。
7.保持默认密码的定期更新。
8.使用密码检查工具检查密码的强度,及验证密码是否已经被盗用或在不同账号被重复使用等。
9.为账号绑定电话号码或电邮地址等信息,用于在密码被盗时恢复账号。
10.为账号设置额外验证方式,如两步验证(Two-Factor Authentication / 2FA Authentication)。
※图:互联网
ADVERTISEMENT
ADVERTISEMENT