FIDO(Fast Identity Online)联盟称,消除口令可能会用几年时间,更快更简单更安全的线上身份验证标准正在制定中。
推动这个想法似乎并不难,安全专家们很少有不认为口令是不该死掉的身份验证方法。
证据实在是太多了。大多数人都无视专家们的教导,根本懒得使用又长又复杂的强密码,也不会费神每个月换一个,更不会每个网站单独用一个。
最新一期《数据泄露报告》(DBIR)发现,63%的数据泄露事件都涉及到被盗口令、弱口令或默认口令。
而且,即使口令万分复杂,也逃脱不了被盗的命运。就在近几个月,一系列灾难性的口令泄露事件见诸报端——推特3300万、领英1.65亿、Tumbler 6500万、MySpace 3.60亿、Badoo 1.27亿、VK.com 1.71亿。
Cyphort威胁运营高级主管尼克·比罗格斯里在最近的博客文章中指出,目前网上售卖的账户凭证超过10亿个。这就像满地都是任人捡拾的银行保险箱钥匙一样。
你所需要做的,仅仅是捡起一把,然后找到能打开的那个保险箱就行了。事实上,情况比这还要糟糕,因为对大多数人而言,非常习惯用同一把钥匙开自己的家门、办公室门和车门。
再加上自动化工具,几秒内匹配百万把“锁”也不在话下。
达特茅斯学院、宾夕法尼亚大学和南加州大学的研究人员们最近发表的一份研究报告表明,在医疗保健行业,密码使用情况更加糟糕——医护人员都有规避密码的习惯,就为了能没有丝毫延迟地使用设备或获取物资,他们还常常将密码写在便利贴上。
这份报告标题的一部分就是“你是要我的密码还是要一个死亡的病人?”——在通常麻烦且毫无道理的计算机安全规则面前,医护人员也仅仅是想做好自己的工作而已。
对FIDO而言,对付这种漏洞跟筛子似的“安全”标准,解决方案就是直接放弃它。但这个将自己描述为“跨行业公会”的联盟,所需要做的,比说服专家甚或网页内容提供商更多。它还得说服用户——那些已经习惯于使用口令,特别不愿意遭受改变的人。
没有‘完美’这种事。一直都是军备竞赛状态。
Cigital首席技术官加里·麦格罗说:“想要吸引眼球的网站是不会真的强制他们的用户做点啥的。推特现在就有双因子身份验证(2FA),但你不是非得用它,只是‘应该’而已。你能做的,最多就是好言好语地请求,不然,那成了经济利益冲突了。”
维沙·古普塔,Seclore首席执行官。他虽然觉得只要新的身份验证形式又快又简单,大众是会接受的,但却依然认为这不能是强制措施,过程也会“相当长”。
这就好像 芯片卡 vs. 磁条卡,需要大量的企业参与进来才能完成。
实际上,甚至联盟的执行董事布雷特·麦克道尔都承认,“强制网页服务提供商做事,是不可能成功的。”
他同时也称,目前拥有近250个成员组织的FIDO,根本没打算强制什么东西。该组织的目标是让这件事不可抵制——“放出一个因为与自身利益挂钩而让提供商们极度渴望实现的解决方案。”
一个能提升用户体验的身份认证系统,会让服务提供商们主动采纳的。
攻击者需要物理接触到用户的设备才可能尝试攻击。这就不可能大规模进行攻击尝试,因此,对出于金钱动机的攻击者而言,此路不通。
FIDO网站上的用户体验论调,显然使新解决方案看起来很容易。两种可能的方法奉上:
- UAF(用户身份验证标准),简单地要求用户发起交易请求,然后出示生物识别特征,比如说指纹。
- U2F(通用第二因子),要求在本地设备用密码登录,然后用户插入USB加密狗,按下按钮完成交易。
麦克道尔称,决定性的不同在于,身份验证凭证总是存储在用户设备上,从不离身。攻击者需要物理接触到用户的设备才可能尝试攻击。这就不可能大规模进行攻击尝试,因此,对出于金钱动机的攻击者而言,此路不通。
更不用提,如果有效,这将完全断绝异地攻击。
口令的问题,并不在于口令本身,而在于这就是个“共享的秘密”——个人用户和在线提供商的服务器上都存有口令,可被无数黑客取用。而且,这也给了黑客在其它服务器上尝试密码的机会。
麦克道尔认为,UAF和U2F对用户而言更快更方便,因为验证过程只需要简单地“触摸传感器、看向摄像头、带个手环等等。这绝对比输入口令要快,比起一次性口令这种传统双因子身份验证更是快得多,也便利得多。”
当然,一些专家指出,攻击者找到克隆用户生物识别特征的风险也是越来越高的。指纹、声纹、虹膜扫描这些,不是不可能复制。
麦格罗就表示:“我才不愿意把自己的虹膜交给任何人。我已经将指纹给了美国政府,然后他们很高兴地转给了中国。”
麦克道尔承认,生物识别方法也可能被骗过,也就是他所谓的“呈现攻击”。但他称,FIDO标准摒绝了基于上述原因的大部分风险——生物特征信息不会离开用户设备。“只有攻击者获取到了用户设备,针对FIDO凭证的生物特征欺骗攻击才会奏效。社会工程、网络钓鱼、恶意软件这些攻击方式统统都会沉沙折戟。”
FIDO标准可能会让攻击成本变高很多,因而将改善安全状况。只要新的身份验证形式能确保攻击成本比所窃数据价值更高,我们就是安全的。
但是,没人会认为口令就将马上退出历史舞台。麦克道尔虽然很看好FIDO标准,也非常清楚这个标准真正成为“标准”还需要一段相当长的时间。
他指出,市面上有超过200种FIDO认证的实现,超乎意料。联盟上个月也宣布,微软将在 Windows 10 中集成FIDO作为无口令认证的一部分。联盟同时还与万维网协会合作,共同标准化浏览器和相关Web平台基础设施中的FIDO强身份验证。
但是,口令使用尾大不掉,彻底清除需要时间。虽然现今普遍使用的大多数应用和设备正走在提供FIDO身份验证的道路上,未来几年内口令仍将继续成为这些系统的一个组成部分。
现实是,“没有‘完美’这种事。一直都是军备竞赛状态。”
相关阅读
