如今我們每天登錄各種社交平台、購物網站、支付平台等都需要密碼,但是你在這些平台上的密碼都是不一樣的嗎?你能夠全部記住這些密碼嗎?你認為這些密碼確實能夠保障你的安全嗎?
國外有用戶指出,密碼如今已經是一種非常過時的安全保護方式了,應該把它塵封到歷史之中,支持這個觀點的還有聯邦貿易委員會首席技術專家羅麗·克蘭納(Lorrie Cranor),她在最近的一次安全大會上表示,政府部門定期修改密碼的建議其實會讓情況變得更糟糕。
她指出因為需要定期修改密碼,因此很多人會遵照某種可預測的固定的模式去設置密碼,經常是數字的堆疊增加,比如 001、002等。其實這樣設置密碼的何止那些需要定期修改密碼的大型企業,不少用戶自己也會這樣設置和修改自己的密碼。還有一些人的做法是:因為需要定期修改密碼,所以直接選擇修改當日日期來作為密碼,修改密碼的時間差就在一兩天之內。這樣設置和修改密碼,不僅讓攻擊者很容易就能破解你的密碼,他們也可以在這個密碼的基礎上預測你未來可能使用的密碼。
研究人員利用他們發現的密碼變形方式開發出一種算法,以預測用戶未來可能會使用的密碼,這種算法所作出的預測准確度非常高。然後這些研究人員又模仿現實世界去攻擊破解密碼。在線攻擊中,攻擊者在被攻擊網絡將他們鎖定之前可以盡可能多地猜測和嘗試密碼,有17%的賬戶密碼在不足5次的嘗試之下就被破解了。離線攻擊下,使用超高速計算機通過恢復哈希密碼的方式來破解的話,41% 更改後的密碼在3秒鐘內就被破解了。
也就是說密碼本身就是不安全的,而任何想要提升密碼安全度的嘗試最後被證明會帶來反效果。
當然蘋果公司目前已經推出多種方法減少用戶對密碼的依賴,包括和iPhone 5s同步上線的Touch ID、支持用戶通過Apple Watch自動解鎖Mac等。未來如果Touch ID能夠整合到Mac上就更好。但是Touch ID只能部分解決這個問題,它還不能讓系統完全消除對密碼的依賴,而且今年早些時候iOS上的一個不引人注意的變化其實會讓用戶更需要iOS密碼。
雙因素驗證用於提升密碼的安全性,但這還遠遠達不到完美的標准。除了其本身存在的缺陷,設置過程麻煩,消費者教育工作薄弱等,這些因素都讓很多用戶不願意嘗試和使用這種驗證方式。
密碼技術是在公元前200年發明的,於1961年首次出現在電腦上,而看起來55年後或者22世紀我們能夠讓這種技術變得更好。
匯豐銀行在今年早些時候表示,他們將會全面支持生物安全技術,取代密碼和密保問題,全面推行Touch ID和聲音識別——蘋果是這些轉變的技術關鍵。其他財政機構目前也采取相同的措施。
蘋果的Touch ID的Secure Enclave被密碼鎖定,所以在設備重啟後就需要解鎖才能啟動Secure Enclave,這就是我們為什麼在重啟後需要輸入數字密碼才能再次使用Touch ID的原因。也就是說Touch ID還不能完全取代密碼,但這並不意味著在未來的設備中就沒有合適的技術解決方案,以便設備可以完全放棄使用密碼。
目前除了密碼之外,生物驗證技術方面包括指紋識別、聲音識別、瞳孔識別和臉部識別等都是比較常見的解決方案,它們都有取代密碼的潛力。
那麼為什麼蘋果應該是這場“密碼淘汰革命”的領導者呢?原因一共有三:
第一蘋果公司重視可用性,Apple I可能是一款具有開創性意義的產品,不過此後蘋果的商業模式就是在已有產品的基礎上,對這些產品進行升級,讓它們以其該有的方式呈現在人們的面前。在很多關於實用性的合理測試中,密碼的表現都不怎麼樣,就這個原因也足以讓蘋果去尋找其他可替代方案。
第二蘋果公司大力支持隱私和安全保護,而如今密碼已經不能達到蘋果想要的安全保護水平。在暴力攻擊和網絡釣魚等攻擊手段面前,密碼都敗下陣來。
第三,很多時候只要有蘋果帶頭,其他公司和廠商就會紛紛地跟隨蘋果的腳步。目前密碼還是默認的安全解決方案。我們使用密碼不過是因為別人也在使用。蘋果公司一直以來都敢於淘汰舊技術,從軟驅到30針接口,今年可能還會淘汰3.5mm耳機接口。只要你想,你就可以“不同凡想”。蘋果公司不做第一,但是會後發制人,只要他們支持某樣東西,那麼在大眾消費者市場這樣東西就是合理的。市場不僅能夠接受它,甚至還會趨之若鹜。
你認為密碼是否應該被其他新生的技術所取代?或你認為它還能夠繼續發揮非常重要的作用?