人們使用密碼的歷史由來已久。讓我們回顧一下密碼和身份驗證技術(2FA、MFA、OTP、U2F、FIDO2)的發展。此外,您還可以找到我們的手冊,了解如何在 2020 年成為無密碼用戶。
內容
密碼的興起(和衰落?)
人們使用密碼的歷史由來已久。從聖經士師記第 12 章描述的基列和以法蓮部落之間的戰鬥中,它們被用來驗證盟友和偵查敵人。軍方後來通過使用一個密碼和一個充當質詢-響應模型的反密碼改進了這一過程。
除了限制物理訪問外,密碼還用於對通信或某些信息保密。難怪密碼在計算機發展的早期成為計算機的重要組成部分。計算機系統中的第一個密碼登錄是在 1961 年實現的。
然而,第一次計算機密碼破解發生在它們被引入僅一年後。 1962 年,由於軟件錯誤,所有登錄系統的人都看到了用戶及其密碼列表。哎呀。
儘管黑客攻擊和洩露事件不斷發生,但密碼現在無處不在——PC、手機、網站、應用程序、遊戲、銀行等。人們一直在不懈地尋找一種使身份驗證更安全的方法。
認證101
如今,有過多的身份驗證方法。讓我們回顧一下最常見的方法:
- 單因素身份驗證是最簡單和最常見的身份驗證形式。要訪問服務或系統,您只需提供一種身份驗證方法,例如密碼、PIN、PIV 卡等。這種簡單性並不能保證適當的安全級別,因為在大多數情況下,欺詐者很容易猜到或竊取憑據。
- 第二因素身份驗證是帳戶保護的一般建議。研究發現,2FA 可以防止 80% 的數據洩露。它在密碼之上添加了另一層驗證,需要 PIN、一次性密碼、硬件令牌等。缺點——2FA 需要額外的步驟,這意味著額外的時間和認知努力。
- 多重身份驗證是最複雜的方法,需要用戶提供兩個或更多獨立因素。通常, MFA利用列表中的兩個或三個元素:
- 你知道的事—— 密碼、PIN、安全問題;
- 你有的東西—— 硬件令牌,如Hideez Key 、手機、智能卡;
- 你是什麼—— 指紋、FaceID、虹膜掃描;
- 你做的事—— 打字速度、位置信息等。
除了眾多因素之外,市場上還有多種身份驗證技術和協議。
處理個人憑證的最簡單方法是記錄它們。由於日記不是那麼安全,因此引入了密碼保險庫。有多種產品可用——免費或訂閱後在雲或本地設備上加密存儲。密碼管理器和保險庫非常適合記住密碼,但它們既不能簡化也不能保護身份驗證過程。
為了擺脫多重密碼,開發人員發明了單點登錄(SSO)。現在它是最常見的企業解決方案之一,允許使用一組憑據訪問多個服務和應用程序。員工可以節省輸入密碼的時間,IT 管理員可以更好地控制對企業服務的訪問並減少與密碼相關的請求。 SSO 可以通過減少處於風險中的憑據數量來降低網絡攻擊成功的風險。
由於安全圈通常不贊成使用單因素身份驗證,因此一次性密碼(OTP) 成為包含敏感信息的服務的標準 2FA,例如網上銀行、醫療門戶等。通常,OTP 是一串數字,對一次會話或交易有效。由於 OTP 會動態更改確切的序列,因此這種身份驗證方法不容易受到重放攻擊。有幾種生成 OTP 的方法:
- 身份驗證服務器和提供密碼的客戶端之間的時間同步,這意味著 OTP 僅在短時間內有效。
- 一種數學算法,它根據以前的密碼生成新密碼,形成一條鏈。
- 一種基於質詢(例如,由身份驗證服務器或交易詳細信息選擇的隨機數)形成新密碼的數學算法。
為了加強和簡化 2FA,開發人員創建了U2F (通用第二因素)協議。它將藍牙、USB 或 NFC 設備與在線服務連接起來,並使用公鑰加密方法和唯一的設備密鑰執行質詢-響應身份驗證。在用戶端,只需按下設備上的按鈕或輕觸 NFC 即可。由於 U2F 需要物理設備進行身份驗證,因此它具有抗攻擊性,甚至可以保護簡化的密碼。
一種新方法
所有這些方法聽起來都很棒,而且它們確實為您的數據提供了更好的安全性。但在通往安全的道路上,我們不斷地在可用性上妥協。所以這裡有一個想法:“我們可以在沒有任何密碼的情況下保護我們的數據嗎?”。
一群愛好者說“是”,並開發了FIDO2框架。
它用一種無法被盜的新型憑據完全取代了密碼。
FIDO2 由W3C Web 身份驗證(WebAuthn) 標準和 FIDO Client to Authenticator Protocol (CTAP) 組成。他們一起創建了一個過程,在該過程中,用戶控制的加密身份驗證器通過 Web 用戶代理(瀏覽器)與 WebAuthn 依賴方(FIDO2 服務器)連接。
在註冊過程中,會生成一對私鑰和公鑰。私鑰存儲在設備上,而 FIDO2 服務器在數據庫中註冊公鑰。在身份驗證期間,為 Web 服務輸入公鑰,並使用通過用戶操作解鎖的私鑰進行驗證。
後台發生了很多事情,但用戶只需按下按鈕、掃描指紋或執行其他身份驗證操作。 FIDO2 框架的唯一缺點是它還沒有得到廣泛支持。
回到現實
真正的無密碼方法在現實世界中是無法實現的,因為我們有太多的系統、平台和服務。沒有銀彈可以滿足所有要求,既安全又簡單。這就像物美價廉的悖論。我們能做的是對一個簡單的動作發起復雜的後台工作有個基本的概念。
它類似於蜂窩網絡的運行方式。一旦手機開機,它就會開始搜索來自基站收發器的信號。要建立連接,您的手機會將其唯一標識符發送到該站。他們通過根據模擬(AMPS、NAMPS、NMT-450)或數字(DAMPS、CDMA、GSM、UMTS)協議定期交換數據包來保持聯繫。
普通手機用戶不知道它是如何工作的。他/她剛剛打開電話。
改變遊戲規則
如果我告訴您這種無縫體驗已經存在呢?是的,你沒看錯。您可以通過一個簡單的解決方案為您的網站、應用程序甚至受保護的文件享受“無密碼”體驗。隱藏。
Hideez Enterprise Solution和 Hideez Key for Individuals 在後台管理所有與身份驗證相關的任務,而您甚至不需要考慮密碼。
- 第 1 步。Hideez 用作密碼庫,可記住您的所有密碼(大約 2,000 個!)並通過多個加密層確保它們的安全。
- Step 2. Hideez進入 您的憑據在幾秒鐘內。您可以使用多種模式:a) 按下 Hideez Key 上的按鈕,以及 b) 使用自定義熱鍵。瞧!
-
獎勵:您無需擔心網絡釣魚 再次攻擊。 Hideez 不會將您的憑據暴露給虛假網站或應用程序。
- 第 3 步。您可以使用 Hideez 解決方案來鎖定和解鎖您的 PC 。同樣,有幾個選項可用:a) 接近度——接近您的 PC 或走開; b) 觸摸 – 點擊我們的藍牙加密狗解鎖並按下按鈕鎖定您的 PC; c) RFID – 使用 RFID 閱讀器解鎖您的 PC。
- 第 4 步。Hideez Enterprise Solution 允許管理員在服務器上更新員工的密碼,因此最終用戶甚至不知道發生了什麼變化,公司 IT 部門也不會處理多個重置新創建密碼的請求。
- 第 5 步。遵循最佳網絡安全實踐和 NIST 建議,Hideez 提供帶有內置OTP生成器的2FA 。
這是我們關於如何在 2020 年實現流暢的無密碼體驗的簡短手冊。
一把鑰匙。一個按鈕。多種定制。您的所有憑據都是安全可靠的,身份驗證在後台進行。
如果您迫不及待地想親自測試 Hideez,請填寫下表。添加代碼“無密碼”以獲得特別優惠,感謝您完成這篇長篇閱讀:)
