文·图/沈臻懿
“互联网+”时代,用户身份验证是一种极为普遍的应用场景。无论是网站登录、App注册,抑或网银操作等,几乎都依赖于账号密码的验证。但对于用户体验而言,密码管理无疑让人有些“抓狂”。面对各种平台、账户的密码要求——有的须加入特殊符号,有的须同时有数字、字母和符号存在,有的要求区分大小写,有的还不允许连续数字存在……用户往往会因密码过多且难以记忆而倍感苦恼!倘若为了好记,设置的密码过于单一、简单,则可能因其防御能力弱而导致陷入“撞库”“钓鱼”“暴力破解”等网络攻击的风险。
基于移动生物识别等技术对登录者予以强身份信息验证,可确认正在使用该账号的登录者即为用户本人
当前主要的几类密码验证方式中,最为常见的就是作为静态方式的传统账号密码验证。由于此类密码均可自行进行设定,用户通常会选择方便记忆的密码,如采用出生年月、电话号码等。但这一模式下的密码安全性较低,非常容易被不法分子暴力破解。有的用户为了使用方便,往往会在多个网站、平台之间,使用同一套密码。这一方式看似便于记忆,一旦被不法分子窃取,即可用于“撞库”(黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登录其他网站后,得到一系列可以登录的用户)。
除静态密码外,诸如验证码、动态口令等皆属于动态密码验证方式。就验证码来说,若用户手机被恶意应用软件操控而获取权限或短信后,即可在用户不知情的状况下读取动态验证码,进而导致用户身份被盗用。由于不同机构之间都有着自身专属的一套动态口令设备,机构与机构之间的工具并不通用,这就令用户往往需要同时携带多个口令设备,给使用带来不便。
威瑞森通信公司(Verizon)发布的《2022年数据泄露调查报告》(DBIR)显示,当前82%的数据泄露都与人为失误或网络钓鱼、被盗凭证等有关。作为登录凭证的密码已然成为绝大部分数据安全事件的“导火索”。究其根源,密码验证本质上是不安全的。解决问题的关键,还是要通过使用更为安全且便捷的替代技术以实现去密码化。
无密码身份验证(Password-less Authentication),即:无须密码亦能对用户身份进行证明。需要注意的是,“无密码”与“没有密码”之间并不能画上等号。“无密码”强调的是用户不再使用密码方式来登录网站、App或电子设备,而是换用安全系数远高于密码验证的操作方式进行登录。理想状态下,无密码身份验证技术能利用全新的身份验证方式,来全面替代现有的密码验证模式。
人工智能时代,用户自身即是密钥。这种无密码身份验证技术可以看成是一种点对点的认证。用户设备发起身份验证的请求,App等平台、程序收到请求后,用户设备支持多种方式的身份验证并核验通过。基于移动生物识别等技术对登录者予以强身份信息验证,以确认正在使用该账号的登录者即为用户本人,从而规避传统密码所存在的安全隐患。相较于传统密码身份验证而言,无密码身份验证技术“自身即密钥”的特点,不仅管理成本低廉,且不会出现遗失或遗忘的状况。同时,不可复制的自身密钥信息,也使得造假难度大幅提升,密码管理中的安全性能尤为凸显。
多重保护的验证技术,进一步压缩了不法之徒的违法犯罪空间
无密码身份验证技术不仅管理成本低廉,且不会出现遗失或遗忘的状况
人工智能时代,用户自身即密钥,这种无密码身份验证技术可以看成是一种点对点的认证
正因这一技术的普及,使得用户不再需要记忆冗长、复杂的密码来验证身份;
通过身体的生物特征要素,或通过身份验证器发送到自身设备或应用程序上的魔术链接(Magic links)、一次性访问密码等占有要素进行验证便可顺利登录系统。由于没有密码可供窃取或者破解,不法分子也很难再利用密码来获取其想要的网络数据。原先因密码泄露而导致的网络安全事件等问题,同样会因密码的消失而不复存在。
此后,无密码身份验证技术中,有一种名为多因素身份验证(Multi-factor Authentication,MFA)的数字身份认证系统受到了大家的关注。其利用了用户的相应特征及要素,通过多个身份认证的查验点来实现安全保护。简单来说,我们可以将其视为一道同时带有锁具、虹膜扫描以及一次性访问密码的“防盗门”。如果单单只有锁具,其就如同传统密码一般容易被“撬”。而对于虹膜扫描的信息复制以及一次性访问密码的拦截和破解,其难度就大得多。这种多重保护的验证技术,也进一步压缩了不法之徒的违法犯罪空间。
无密码身份验证技术的发展,为企业、用户等带来了更高级别的安全体验,其自身也一直处于发展变化中,从最初的1∶1认证,逐渐发展至1∶N认证,并随之进入数字—物理身份的无缝衔接时代。
无密码身份验证技术所需的特征信息采集,随着三维重建、AI技术、图像增强等手段的介入,已从最初接触式的采集识别方式,转型为了非接触模式。用户只需在设备前伸出自己的手,即可完成包括单指、全指、掌纹、指静脉、掌静脉等在内的多种特征信息的秒级采集和毫秒级的准确识别。
此外,隐私信息保护也是无密码身份验证技术发展过程中的一大被关注的问题。当前,主流的信息应用都是在平台上保留原始信息或保存模板。这一方式对于隐私保护而言并不友好。为此,就需要将信息识别与密码学工具予以深度融合,从而实现不可逆、可撤销、非关联的强隐私安全性能。
当前,新一代的无密码身份验证技术已较为成熟,可在十数亿的库容下实现高精度、高性能的信息识别。为了更好地实现该技术的场景应用,在物联网的加持下,将数字世界和物理世界的身份予以链接,便可提供更为安全、便捷的身份验证服务。
猜你喜欢身份验证密钥密码密码里的爱保健医苑(2022年4期)2022-05-05密码系统中密钥的状态与保护*北京电子科技学院学报(2020年2期)2020-11-20密码抗倭立奇功学与玩(2018年5期)2019-01-21TPM 2.0密钥迁移协议研究小型微型计算机系统(2018年9期)2018-10-26一种对称密钥的密钥管理方法及系统信息安全研究(2018年1期)2018-02-07密码藏在何处语文世界(小学版)(2016年9期)2016-09-14夺命密码微型小说选刊(2015年5期)2015-06-05Endogenous neurotrophin-3 promotes neuronal sprouting from dorsal root ganglia中国神经再生研究(英文版)(2015年11期)2015-02-07身份验证中基于主动外观模型的手形匹配上海电机学院学报(2013年4期)2013-03-11ASP.NET中的Forms身份验证的研究武汉船舶职业技术学院学报(2012年4期)2012-08-01