迈向无密码世界的第一步

没有密码的未来不仅可以通过采用标准和选择认证方法来实现。

迈向无密码世界的第一步

未来世界将不再需要密码:随着非密码标准的进一步牢固确立,非密码认证方法的数量和复杂性急剧增加,越来越多的人不可避免地得出这一结论。当我们进入一个没有密码的未来时,最好记住,一个没有密码的世界不仅仅是标准和认证方法。我们仍然需要考虑许多挑战。例如,在一个没有密码的世界里,你如何证明证书注册的身份?如何找回丢失的证书?也许最重要的考虑是如何解决这些挑战,例如用户不便、帮助台负担和密码重置相关费用,而不会反复产生导致密码消失的问题。我们必须注意避免陷入用另一种同样麻烦的方法代替密码重置的怪圈。现在说我们清楚地知道我们将有效地解决所有这些问题还为时过早。但是是时候开始说话了。

在无密码世界中定义身份有何意义?

无密码认证的主要挑战是建立一个与密码无关的数字身份,它可以用来证明用户就是他声称的那个人,并作为数字世界中用户身份的信任基础,就像现实世界中的护照或驾照一样。

当然,目前有一些身份验证方法不要求用户在身份验证期间输入密码。——生物识别(如人脸识别和指纹识别)、基于令牌的身份验证等。然而,密码仍然被用作许多这些方法的底层身份验证方法。如果您想删除密码,用户必须使用什么安全方法来证明自己的身份才能获得非密码证书?我们需要继续开发新的方法来建立初始信任,并授予用户真正安全的无密码凭据。

用户需要恢复凭证时会发生什么状况?

谈到目前使用的生物识别、令牌和其他无密码身份验证方法,我们经常忽略密码仍然是用户身份验证和凭据恢复的基本机制这一事实。当手机丢失时,重置手机所有相关应用程序和帐户的超高级面部识别生物认证,并且只需要一组用户名和密码,这真是令人困惑和沮丧。在这种情况下,只要掌握了用户的用户名和密码,难道每个人都不能用自己的脸重置生物识别证书来访问用户帐户吗?关键是,今天任何形式的强身份验证最终都只是密码的外部表示,事实上,它并不比方法底部的密码更强或更安全。

我们认为的“没有密码”并不是真的没有密码;这个系统仍然植根于很容易窃取和用来冒充用户的东西。如果你忘记了你的用户名和密码,恢复机制很容易破解,只要你能找到你母亲的娘家姓(这可以在你堂兄建立的“私人”家族历史网站上找到)或者找到你第一辆车的型号(只是一张你自豪地发布在社交媒体上的照片)。

面对现实:每个数字身份似乎都有一系列比身份验证方法本身更弱的凭据恢复机制。你丢了带人脸识别功能的手机吗?没问题,您仍然可以通过输入密码来解锁它。不记得密码了吗?告诉我你母亲的娘家姓,我们会给你一个新密码。丢失硬件令牌?来吧,提供您的活动目录用户名和密码,我们将向您发送过去。如果在一个没有密码的世界中,身份验证像人们想象的那样安全,我们必须逆转这种模式,使恢复机制比身份验证方法本身更安全。也许硬件令牌被用作移动验证器(丢失的移动电话?使用您的硬件令牌进行身份验证。)主要的挑战可能是使回收机构更安全,同时保持易用性和实用性。

这里的问题围绕着一个主题:意识的重要性。假设没有密码标准和认证方法是创建一个没有密码的世界所需要的,这是完全错误的。忽视大多数公司甚至在这些领域仍有大量工作要做的事实也是错误的。思考现有的和新兴的解决方案令人兴奋,这些解决方案已经引领我们走向一个没有密码的世界,但也有必要指出需要填补的差距和障碍。

如何使用自动化来提高您的网络安全性?网络管理和网络安全应该集成吗?网络安全保险影响机遇时代的网络安全:抗击极端天气和停电所需的人工智能中国网络安全的特点、成就和趋势。

极牛网精选文章《迈向无密码世界的第一步》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/4621.html

(32)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
主编的头像主编认证作者
上一篇 2019年11月20日 上午10:43
下一篇 2019年11月20日 上午11:54

相关推荐

发表回复

登录后才能评论
扫码关注
扫码关注
分享本页
返回顶部