是時候和密碼說byebye了

【獵雲網（微信號：ilieyun）】5月10日報導（編譯：羅彬傑）

設置和記住各種各樣的密碼非常麻煩，而且不太安全。新技術將消除對它們的需求，而且很快就可以實現了。

如果我走到你面前，告訴你再也不用輸入任何登錄密碼時，你可能會摟著我，表現得像1945年時代廣場的二戰勝利紀念日一樣激動不已。密碼就像是我們數字牡蠣裡的砂礫，所有的摩擦都是用武斷和過時的規則創建、記憶或管理它們，並且按照時間表修改它們，然後還得正確地輸入它們，但遺憾的是，永遠不會形成一顆珍珠。（通俗版：我們總是需要根據一些規則來創建和修改密碼，並且還需要用各種方式來記住它們，並在需要輸入它們的時候回憶起正確的密碼，這著實是一件耗費心神，有時還會給你帶來不小麻煩的事情。而實際上它的效果和安全性卻還是不盡如人意。）

這就是為什麽企業安全公司MobileIron升級了它的認證產品套件，允許IT經理不再使用密碼，而是依靠移動設備進行所謂的“零登錄”訪問。該公司依靠現代硬體的安全特性和其他信號，使無密碼登錄和有密碼登錄一樣安全。

目前，MobileIron處於無密碼理念的前沿。但這一舉措遠沒有聽起來那麽激進，其他公司也在研發相關技術，為用戶APP和網站提供更好的安全保障，而我們只需少做輸入密碼這件事。如果密碼確實即將被淘汰，那麽它的淘汰將會和你想象的一樣令人愉快。

上世紀60年代的技術成為本21世紀的挑戰

密碼幾乎是碰巧才成為身份的認證信息的。據信，它的起源可以追溯到20世紀60年代，當時它被引入麻省理工學院的一個早期分時系統。當時，它提供了一種簡單的方法，在世界上幾乎沒有計算機存在的情況下，將文件保存在一台機器上。

為一台計算機管理一個密碼是非常簡單的。但沒有人會預測到人們最終會有這麽多在線數據需要保護。用數十億台設備乘以數十億個账戶，一段時間以後，密碼的數量顯然已經無法估量。

密碼管理軟體，如1Password和LastPass可以提供很大的幫助，但它仍然依賴於密碼作為合法性的證明。第二因素認證(2FA)通常被認為是解決密碼問題的一種方法，它確實阻止了完全依賴密碼的账戶劫持狀況，但它更像是第二個密碼，而不是完全擺脫密碼的一種方法。而且2FA不提供對數據的不滲透防禦，特別是當這些第二因素通過文本消息發送時。(2016年，NIST發布了一份關於最佳安全實踐的白皮書草案，建議將刪除短信作為第二個因素，但該草案在2017年發布時有所淡化，刪除了這一建議。目前還不清楚這一變化的幕後黑手是誰。)

大多數人仍然不使用密碼管理器，這導致許多人選擇在組織或站點設置的任何規則下可以使用的安全性最弱的密碼。這使得大多數密碼在某種程度上高度容易被破解。由於許多企業依賴於大量服務來完成工作，一項允許弱安全性密碼的服務(或存在漏洞的服務)可能會使許多其他鏈接服務變得同樣脆弱。

要拋棄密碼，就要依賴於身份和訪問成對匹配。一旦你通過充分證明你是誰進行了注冊，以及你擁有一個需要生物識別技術才能解鎖的設備(指紋或面部掃描)，密碼就不會再有任何存在的意義了。

MobileIron希望真正依靠其名稱中的“mobile”部分。該公司首席執行官Simon Biddiscombe表示：“在過去幾年裡，有一件事發生了巨大變化，那就是將手機作為員工執行任務的主要設備。”

通過這種“移動優先”或“移動始終可用”的方法，MobileIron可以改變身份驗證因素的權重。在多因素安全系統中，這些因素通常被描述為你知道的東西、您擁有的東西和你的身份。你所知道的通常是密碼，這是安全的基礎。但是，如果安全系統可以基於你所擁有的東西(比如您的移動設備)和你的身份(生物特徵參數)授予訪問權限，那麽你就不需要知道任何東西，也不需要記住密碼。

最普遍的例子是移動支付系統，如Apple Pay和谷歌Pay，它允許你注冊信用卡或借記卡。當你用這張卡付款時，系統會根據你擁有的東西(你的手機、手錶或平板電腦)和你的身份(通過蘋果的面部識別或Touch ID等技術進行的生物識別確認)對交易進行授權。Biddiscombe說：“Apple Pay是我最喜歡的一個例子，它是一個消費者應用程序，感覺非常像我們在企業市場所做的事情。”

MobileIron新推出的零密碼選項的細節，將對其當前和未來的客戶產生重要影響，這些客戶將更少地因違規和密碼管理而感到壓力。但事實上它的影響要廣泛得多。在公司層面上拋棄使用密碼的顛覆性想法，會讓我們深刻了解到，小型企業和消費者市場可能會如何從最令人討厭的單一密碼保護帶來的困擾中奮力解脫出來。

密碼太多

MobileIron的主要業務是身份驗證，所以你可能會認為它會專注於密碼，而不是試圖擺脫密碼。回到iPhone剛推出的時候，公司的創始人就意識到，高管們會購買蘋果的手機，並且想要訪問電子郵件，而IT部門會對這些他們沒有審核過的新設備感到惱火，並對提供安全訪問感到焦慮。

近年來，MobileIron已經轉向了各種移動(和桌面)端安全性服務，以及跨內部網、雲和託管服務的單點登錄訪問，單個公司的員工可能經常與這些服務進行互動。員工可能同時使用Office 365、Dropbox、Salesforce和企業電子郵件伺服器，並且希望能夠方便地訪問所有這些工具，無論他們身在何處。

Biddiscombe還指出，移動員工的增長不只是企業軟體系統傳統上關注的白領員工。他們的人數還包括抄表員、包裹遞送員、工廠工人、修剪樹木的工人、接受租車退貨的人，以及其他許多領域的員工。當這些員工通常在外地或在工廠裡工作時，給他們設置密碼並不能提高他們的工作效率。這損害了公司的整體效率。

在這種情況下，MobileIron聽到了大量來自IT客戶關於密碼之痛的反饋。通過允許企業使用其內部登錄來驗證對第三方服務的訪問，對多個帳戶的單點登錄（SSO）應該可以減輕一些痛苦。但是SSO仍然意味著需要在在很多地方簽名和多次輸入密碼。

真實存在的問題

MobileIron最近委託對200名高管和其他負責網絡安全決策的人進行了一項調查，調查對象大多是雇員超過1000人的公司。接受調查的人表示，他們通過刪除密碼來將被入侵的風險降低一半。從更廣泛的用戶調查中還發現，近一半的支持請求與密碼或多因素鎖定有關。

90%的網絡安全負責人表示，被盜的證書導致了未經授權的訪問嘗試，而高達86%的人表示，如果可能的話，他們會放棄密碼的使用。

這些問題和態度，是在安全專家和IT專家多年來試圖勸阻公司和個人不要把密碼作為最重要的安全手段之後出現的。

FIDO (Fast ID Online)聯盟成立於2013年，旨在消除密碼作為最重要身份驗證元素的模式。該組織的成員幾乎包括所有主要的金融、電信、網絡和軟體公司，包括美國運通、亞馬遜、谷歌、Facebook和微軟。( 除了AT&T和蘋果，幾乎所有公司都參與其中。)

FIDO強調使用公鑰，這是一種簡潔的數學驗證方式，它允許人們擁有一個秘密的“私有”密鑰，同時分發一個成對的公鑰，用於證明他們的身份，或者加密只有他們才能解密的消息。當使用一個支持FIDO的U2F(通用雙因素)標準的網站時，用戶首先注冊並通過多種方式證明自己的身份，包括注冊一個硬體令牌——來自於像yubikey這樣的公司，該公司構建了一個防篡改的獨特的公鑰/私鑰對。

在隨後的訪問中，使用U2F的訪問者仍然將輸入密碼作為第一步，然後單擊生成和傳輸簽名消息的U2F硬體密鑰。與大多數登錄不同，驗證也是雙向的：用戶和站點都透明地提交安全憑據，以證明其身份，這有助於防止釣魚攻擊。(Web安全證書的工作原理與此類似，但並不是專門為保護用戶帳戶而設計的。)

現在想象一下上面的場景，它完全不涉及密碼。這就是該聯盟的目標，一系列名為FIDO2的新標準使其離現實更近了一步。

通過FIDO2，該規範得到了擴展，不僅允許聯盟早期需要的獨立硬體密鑰，還允許任何擁有一個經過加固的、獨立的安全芯片的移動和桌面硬體，來處理加密和生物特徵識別。這包括蘋果的Secure Enclave，自2013年以來，每一款新iPhone都有這個Secure Enclave；現代Android手機中的各種芯片都遵循類似的原則；以及在許多台式機和筆電電腦可以找到的可信平台模塊(TPM)芯片。而這顯然正在成為一個標準特徵。

FIDO2可以讓應用程序和網站在超過10億台設備上，甚至是20億台設備上，獲得類似蘋果支付的登錄體驗，而不需要用戶額外的輸入各種密碼。

去年，微軟為其账戶採用了幾種不同的無密碼登錄選項，其中一些選項依賴於FIDO2。今年2月，谷歌宣布，任何運行version 7及以後版本的Android設備都符合FIDO2標準，為大量用戶帶來了無密碼登錄服務。

目前，蘋果似乎是任然是堅持不改變的一方，儘管它允許第三方應用程序(但不允許網站)在注冊後使用Touch ID和Face ID進行身份驗證。如果該公司將其列為優先事項，這可能是支持FIDO2基於web的登錄標準跨出的一小步。

現在正是時候

如果十年前我告訴你，你應該扔掉你的密碼，你一定會認為我瘋了，因為到那時為止的一切都表明，我們需要更好、更強大、更長的密碼，來對抗似乎每天都在出現的入侵。

但10年的账戶洩露事件表明，許多大小公司在保護密碼方面都做得很糟糕。它還表明，許多用戶選擇弱安全性的密碼，儘管我們不應該責怪他們，因為弱密碼是對糟糕設計的系統的最佳應對方案。

現在是廢除密碼的時候了，像MobileIron這樣的公司也在為企業提供無密碼服務，谷歌和微軟也在為同樣的消費者提供無密碼服務，我們終於可以揮手告別那令人討厭的密碼安全體系了。

而未來的解密方式可能只需要一個簡單的一瞥。正如MobileIron的Biddiscombe所說，“我只需要盯著我的設備，我的設備就知道是我，企業就會為我提供我所需要的各種服務。”