(一)使用体验的繁琐与不便
1960 年代,费尔南多·何塞·科尔巴托为计算机分时系统 CTSS 设置密码,开启了密码验证的时代。但发展至今,用户面临在众多平台设置和管理密码的难题。如科尔巴托所言,人们要么用小本子记录,要么借助软件管理,操作极为不便 。生活中,忘记密码、找回密码的繁琐流程,让用户苦不堪言,严重影响使用体验。
费尔南多·何塞·科尔巴托
(二)安全性的千疮百孔
简单密码的脆弱性:网络安全公司 Nordpass 统计显示,“123456” 等简单密码被大量用户使用,暴力破解此类密码几乎瞬间完成 。尽管每年都有公司盘点常用密码,提醒用户设置强密码,但使用简单密码的人数仍只增不减。加密存储的隐患:即便平台采取单向加密存储,彩虹表攻击仍能通过查找对应关系还原密码。同时,网络钓鱼利用人性弱点,通过社会工程学手段骗取用户密码。若用户在不同平台使用相同或相似密码,“撞库” 攻击便能轻松批量登录其他网站 。
动态密码的局限:以验证码登录为代表的动态密码,虽在一定程度上抵御重放攻击,但存在传输易被拦截、易陷入钓鱼陷阱等问题,安全性仍无法得到有效保障 。传统认证方式的演进与局限(一)“我有” 的认证方式
U 盾的兴衰:2003 年,工行推出 U 盾,作为硬件令牌用于网银交易的双重认证,有效保障了交易安全 。但 U 盾使用条件苛刻,需特定版本的 Windows 系统和 IE 浏览器,使用场景受限。随着技术发展,除企业业务外,U 盾逐渐淡出大众视野 。手机盾的兴起:U 盾演变为手机盾,以手机 T11 和 S1 为载体,无需外部硬件设备和额外软件安装,在一定程度上延续了硬件令牌的安全保障功能,成为身份认证的新选择 。
手机盾
无密码时代的曙光:生物识别技术崛起(一)生物识别技术的多元应用
生物识别认证方式,涵盖指纹、刷脸、虹膜、声音、静脉甚至 DNA 等多种识别手段 。这些生物信息具有唯一性,随着识别技术的不断精进,识别准确率大幅提高,为身份认证提供了更可靠的保障。例如,苹果在 iOS 16 和 Mac 的系统 Ventura 上,用户可通过基于 FIDO 2 的 Passkey,结合 touch ID 或 face ID 实现无密码登录 。
(二)FIDO 2 技术的安全优势
FIDO 2 采用公钥加本地私钥的验证方式,并结合生物识别技术 。私钥仅存于本地,网站数据泄露不会影响用户;设备丢失也无需担忧,因为他人无法复制用户的生物特征。同时,平台无法读取密码,用户发送的是计算结果,有效抵御社会工程学和撞库攻击 。
FIDO 2 采用公钥加本地私钥的验证方式
无密码时代的潜在风险与挑战(一)隐私安全的隐忧
生物信息库的隔离与垄断:不同硬件厂商各自建立生物信息库,彼此无法互通,用户需被多次采集生物信息 。而且,几亿人的生物特征被硬件厂商控制,用户难以知晓其中潜在风险,个人隐私面临威胁。
黑客攻击的新风险:黑客技术不断发展,一旦生物识别技术的漏洞被攻破,泄露的将不仅仅是密码,用户的生物特征等敏感信息将全部暴露,后果不堪设想 。
(二)技术发展的时间差风险
技术导致的风险与技术给予的安全之间存在时间差。生物识别技术虽暂时解决了密码系统的部分问题,但在新的风险爆发前,这种安全保障只是临时的。例如,生物识别技术在快速发展过程中,可能因技术漏洞或不完善,导致用户信息安全受到威胁 。
密码系统正面临着严峻的挑战,无密码时代的生物识别技术虽带来了新的希望,但也伴随着诸多风险。在迈向无密码时代的进程中,政府和相关部门要紧跟技术发展步伐,及时完善法律法规。明确生物识别数据的采集、存储、使用与共享规则,严厉打击非法获取、贩卖和滥用生物识别信息的行为。
建立严格的行业准入门槛,要求企业具备完善的数据安全防护体系,并定期进行安全审计与评估。我们需在追求便捷与保障安全之间寻求平衡,不断完善技术,加强监管,以确保用户信息安全 。随着技术的不断完善、监管的持续强化以及用户安全意识的逐步提升,无密码时代将真正成为安全与便捷兼得的美好愿景。
文章来源:虎嗅APP
