身份驗證的未來是無密碼的。這將如何改變一個如此依賴密碼的行業(yè)�?
幾十年來�,密碼驗證一直是用戶登錄賬戶的實際方法。您使用的大多數(shù)服務�、賬戶、應用和操作系統(tǒng)都要求您輸入密碼才能訪問�。如果輸入的密碼不正確,那就太倒霉了�。
很長一段時間以來�,密碼就足夠了�。但隨著黑客和其他邪惡組織變得更加聰明�、更加敏捷,并且升級速度更快�,密碼驗證開始顯得過時了。通過結合暴力字典破解和弱密碼�,黑客幾乎可以進入任何帳戶。
為了解決這個問題�,人們創(chuàng)建了雙因素身份驗證(2FA)。和普通密碼一樣�,它在一段時間內很好地保護了賬戶安全。當然�,黑客技術發(fā)展得相當快,很快�,2FA就不再是人們認為的萬能安全系統(tǒng)了。對于基于短信的2FA來說尤其如此�,惡意用戶可以攔截短信以讀取相關服務發(fā)送的6位數(shù)代碼。有了用戶名�、密碼和2FA代碼,黑客就可以毫無困難地訪問賬戶�。
面對日益嚴重的安全威脅,軟件開發(fā)和開發(fā)人員可以做什么�?
您相信無密碼登錄是安全的未來嗎?
什么是無密碼登錄�?
首先�,讓我們回答一個顯而易見的問題�。無密碼登錄正如您所想的那樣,無需使用密碼即可登錄�。但這是如何工作的呢?本質上�,無密碼登錄采用身份驗證機制,可以避免必須輸入密碼才能登錄服務或應用程序�。為了做到這一點,無密碼系統(tǒng)使用諸如密碼密鑰�、通過電子郵件發(fā)送的登錄令牌,甚至手機彈出窗口等東西�,讓您控制對帳戶的訪問。
如果您的Google帳戶啟用了2FA�,那么當您在手機上收到彈窗要求您確認或拒絕是否是您嘗試訪問帳戶時,您可能已經遇到過這種情況�。點擊“是”,您將被允許登錄�。點擊“否”,任何嘗試登錄的人都將被拒絕�。
其中無需密碼的部分是手機彈出窗口。當然�,目前,您的Google帳戶在初始登錄階段仍使用密碼�。最終,情況將不再如此�。相反�,您將能夠使用物理硬件密鑰或收到一封電子郵件�,其中包含提供必要訪問令牌的鏈接。
廢除弱密碼
無密碼登錄背后的部分驅動力是弱密碼�。盡管密碼管理器多年來一直免費向用戶提供,但消費者仍然不愿使用它們�。正因為如此�,他們仍在使用弱密碼,例如password和password123�。如果您選擇使用password來保護您的帳戶,則大約5秒內即可破解它�。如果您將密碼增加到12個字符(包含大寫和小寫字母以及數(shù)字和符號),破解所需的時間將急劇增加到大約34,000年�。
當然,這沒有考慮到有人可能會誘騙您交出您的密碼�,或者找到您貼在鍵盤底部的列出所有密碼的那張紙。
有了無密碼登錄�,這已成為過去。
無密碼登錄的影響
無密碼登錄對行業(yè)的最大影響是向舊版應用添加該功能所需的時間�。考慮一下:在某個時候�,基于密碼的登錄將成為過去。當這種情況發(fā)生時�,每個應用程序都必須重新調整,以支持無密碼身份驗證�。
對于某些企業(yè)來說�,這可能并非易事�。如果舊版應用程序的構建方式無法適應新技術,情況尤其如此�。盡管我們都希望相信當今使用的每個應用程序都能夠進行這樣的遷移,但全球有許多企業(yè)仍然依賴于過時的技術�。
這將花費大量的時間和精力,特別是如果必須從頭開始徹底重建應用程序�,以便它能夠滿足更現(xiàn)代(安全)的身份驗證方法。
當然�,這不僅僅是時間問題。當您開始對應用程序和服務進行這種轉變時�,您必須準備好解決出現(xiàn)的各種問題。并非每個用戶都會樂于進行這種轉變�,而您的軟件開發(fā)可能需要幫助指導這些客戶、客戶和消費者�。您是否擁有處理大量支持請求的員工和基礎設施?這假設一切都按計劃進行�。
讓我們向你介紹一個叫墨菲的人,他有一條定律�,其含義是“任何可能出錯的事情都會出錯”。
可以肯定的是�,如此巨大的技術變革將會導致問題。即使你花費大量時間調試新功能(或全新的應用程序)�,它也會崩潰。當這種情況發(fā)生時,你必須做好準備�,不僅要解決問題,還要幫助那些無法訪問帳戶的驚慌失措的客戶�。
同樣,用戶不會太信任這項新技術�。光是名字就可能讓客戶質疑您對應用和/或服務所做的更改的有效性。無密碼對普通用戶來說聽起來不安全�,您可能需要花一些精力向他們保證這是身份驗證的未來,并且比傳統(tǒng)的用戶名/密碼安全得多�。為此,您必須幫助您的用戶理解無密碼只是意味著他們不必輸入密碼即可進入他們的帳戶�。
它并不完美
盡管業(yè)界希望宣稱無密碼身份驗證大獲成功,但它遠非完美�。例如�,如果用戶的手機被盜會發(fā)生什么?即使采用無密碼身份驗證�,手機落入壞人之手后,也可以成為訪問賬戶和服務的門戶�。有了手機,惡意用戶可以攔截OTP�、PIN和魔術鏈接,從而輕松登錄用戶的應用和服務�。
除此之外,這意味著黑客將改變他們的方法�,開始專注于入侵手機以獲取那些OTP、PIN和魔術鏈接。如果發(fā)生這種情況�,每個手機制造商和移動操作系統(tǒng)開發(fā)商可能都必須提高移動操作系統(tǒng)和應用程序的安全性,或投入資源創(chuàng)建無密碼的備份解決方案�。如果有人的手機被盜,他們如何訪問他們的帳戶�?您的企業(yè)準備好應對這種可能性了嗎?
隨著人工智能和機器學習(ML)的出現(xiàn)�,生物識別技術可能成為下一個黑客目標。試想一下:如果音頻成為新的無密碼寵兒會怎樣�?要登錄帳戶,用戶只需說一句話即可獲得訪問權限�。借助人工智能和機器學習,黑客可以創(chuàng)建用戶說出訪問短語的深度偽造�。突然之間,他們就破壞了該人帳戶的安全性�。
還有其他一些情況可能會破壞無密碼身份驗證,開發(fā)人員和企業(yè)尚未考慮到這些情況�。正因為如此,任何創(chuàng)建使用這種新身份驗證方法的應用程序和服務的人都必須(至少在早期階段)保持警惕�,隨時準備做出改變。
用戶帳戶和應用程序的安全應是每個企業(yè)的首要任務�。隨著無密碼身份驗證成為現(xiàn)實,企業(yè)有責任讓這一過渡順利進行�,不會嚇跑消費者或造成混亂。您需要確保您的項目管理游戲準確無誤�;否則管理這一過渡可能是一場噩夢。
無密碼時代即將到來。只要確保你的軟件開發(fā)已經為成功路上的所有障礙做好準備�,一切就都好辦了。
文章均為京上云專業(yè)成都軟件開發(fā)公司�,專注于成都軟件開發(fā)服務原創(chuàng),轉載請注明來自http://hyd365.cn/news/3200.html
