密钥是新的、安全的并且易于使用。然而,关于它们的工作方式存在很多困惑。这篇文章消除了许多误解。
正确地拒绝改变
密码管理是很多人都非常关心的事情。许多人不喜欢密码并希望有更好的方法。但是其他人有一个围绕他们的密码安全构建的可靠系统,并且理所当然地对声称可以改进他们所拥有的系统的系统持怀疑态度。他们有充分的理由喜欢他们当前的设置,并且不愿更改对他们有用的设置。那是明智的。
密码输入图片
因此,许多人对万能钥匙持怀疑态度,这是 FIDO 联盟的新协议,旨在显着提高登录网站和移动应用程序的安全性、安全性和用户体验。
密码已由 Apple 正式宣布,并由 Google 放入 Chrome 和 Android 的开发人员构建中。微软也在准备它的版本。这三个公司之所以对采用至关重要,是因为它们代表了绝大多数设备、计算机、浏览器和操作系统。如果这三个人都同意某件事,那么很可能是有道理的。
我看了评论
自从 Apple 和 Google 都宣布支持密码以来,已经有很多文章描述了密码、它们的工作原理以及科技巨头将如何支持它们。许多人提供了丰富的信息,但也有一些人令人困惑。
据说你永远不应该看评论,但我看过。并且说对密码存在一些困惑、恐惧和误解有点轻描淡写。
我已经写过为什么我们需要万能钥匙、它们如何工作以及为什么它们是比密码更好的解决方案。为了继续这个主题,我将写下我看到的一些关于万能钥匙的误解。
1. 某处还会有密码吗?
人们似乎认为系统中的某个地方仍然会有密码备份。有些人这样说是因为他们希望这是一种真正的恢复方法,但其他人担心这是真的,认识到它不会真正改善情况。
WebAuthn协议不——也不应该——要求在系统的任何地方使用密码。不应该,因为要求密码会破坏目的并导致系统继续“易受网络钓鱼”,因此不会比我们今天拥有的系统更安全。没有密码备份,因为没有必要。
现在,随着网站和应用程序迁移到无密码和基于密钥的解决方案,它们可能会保留密码身份验证。尽管如此,这并不是必需的,并且预计密码最终会完全消失。
2.登录需要蓝牙吗?
一些文章错误地暗示需要蓝牙连接才能完成密码登录。
这不是真的。虽然蓝牙在确保主要科技公司生态系统之间基于密码的身份验证传输方面发挥着重要作用,但简单的登录过程并不需要它。您的手机不必在蓝牙范围内即可登录你的电脑。如果你想将密钥传输到另一台设备或从另一台设备传输密钥,你的手机必须在范围内——这是一项安全功能。
3. 我可以注册我的设备一次,它会在任何地方登录我
有些人得出的结论是,您可以在 Apple、Microsoft 或 Google 注册您的手机或计算机,它在任何地方都可以使用。这导致了诸如“当我访问一个要求我输入密码的网站时会发生什么?”这样的问题。如果能那样工作就好了。但是,每个网站都必须自己实施无密码技术,作为用户,您将不得不像今天一样在每个网站或移动应用程序上注册一个帐户。
4. 如果坏人拿到我的手机,他们能访问我的所有帐户吗?
实际上,如果坏人拿到了你的手机,他们几乎不可能得到任何东西。首先,他们不会获得您的生物特征信息,因此甚至无法解锁您的手机。其次,所有秘密密钥信息都存储在可信平台模块中,专门设计用于以几乎无法渗透的方式保存您的密钥秘密。(好吧,也许 NSA 或类似的组织可以参与其中,但我不能肯定地说……)
所以您可以放心,即使是最老练的黑客,您的手机也不会泄露您的登录信息。
5. 如果我没有手机,我是不是运气不好?
人们担心,如果他们在朋友家或图书馆的电脑上没有手机,他们将无法登录。
密钥协议没有解决这种情况,但大多数供应商会——而且应该——提供第二个安全登录选项。通常,这是一个“魔术链接”——一个一次性的、过期的链接,可以让你登录——发送到您的电子邮件地址。只有您有权访问您的电子邮件,因此该链接将使您安全地登录到全球任何一台计算机。
6. 如果我丢了手机,我是不是倒霉了?
这是部分正确的。有点。
万能钥匙的好处之一是它们承诺在每个大型科技公司的给定生态系统内跨设备共享。这意味着如果您丢失了手机,您的密钥将安全地存储(通过端到端加密)在云端。当您拿到新手机时,它们可以恢复。
但是,您可以选择不将密钥共享到云中,如果您这样做并且只有一台设备,那么是的,密钥将会丢失,并且您必须在访问的每个站点上重新注册。
这里的正常用例是用户决定通过云(以安全加密的方式)在他们的设备之间共享他们的密钥,因此更换电话不是问题。
7. 如果我的生物特征被泄露怎么办?
有些人似乎担心,如果他们受到威胁,他们将无法更改他们的生物特征。(密码可以改,指纹不能改……)
这些人是对的——你不能改变你的生物特征。然而,目前尚不清楚它们被破坏究竟意味着什么。您的生物识别数据永远不会离开您的手机。它被转换为数学哈希值并使用存储在 TPM 中的密钥进行加密。只有带有指纹的手机才能获取密钥并验证指纹。您的生物识别数据无法在手机以外的任何地方存储和解密。
好得令人难以置信?
我不会说万能钥匙好得令人难以置信,但我会说它们在身份验证安全方面向前迈出了一大步。如果说密码的威胁面是一片浩瀚的湖泊,那么密钥的威胁面就是倾盆大雨后的一个小水坑。虽然没有系统应该被认为是坚不可摧的,但似乎没有人能够想到一种方法可以在量子计算打破当前加密方案的短期内破坏密钥。
在一些极端情况下,某些人可能无法接受。例如,生物识别技术不受美国第四修正案的保护,但密码受保护。另一件需要考虑的事情是,虽然谷歌/苹果/微软永远无法读取您的凭据,但人们担心这些公司将能够追踪您注册帐户的地点。这就是为什么像1Password这样的第三方公司正在寻找提供密钥存储和传输服务的方法。
底线:对于绝大多数人来说,密码安全、方便,而且效果很好。虽然我理解改变现状的犹豫,但这是一个改变对每个人都有利的例子。
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/127504.html<
