谷歌最近鐵了心要和密碼過不去。
上周,谷歌剛公布在量子計(jì)算領(lǐng)域取得突破性進(jìn)展,量子計(jì)算在密碼破解上的巨大潛力,意味著現(xiàn)行加密技術(shù)將危在旦夕,本周,谷歌再放大招,宣布他們正在測(cè)試一項(xiàng)將要?dú)⑺烂艽a的新功能……(谷歌你別鬧,這世界已經(jīng)夠沒安全感了好嗎?)
不用密碼登陸怎么玩?
其實(shí)沒有那么玄乎……這項(xiàng)新功能就是讓用戶將自己的谷歌賬號(hào)授權(quán)給手機(jī),然后通過手機(jī)實(shí)現(xiàn)免密登陸。根據(jù)The Verge報(bào)道,一位剛剛受邀體驗(yàn)這項(xiàng)功能的安卓用戶Rohit Paul在Reddit上披露了細(xì)節(jié):用戶通過在網(wǎng)頁端登陸谷歌賬號(hào)向手機(jī)發(fā)送短信,然后根據(jù)短信內(nèi)容輸入驗(yàn)證信息向手機(jī)授權(quán),就和我們輸入驗(yàn)證碼登陸網(wǎng)銀類似。
這樣,以后用戶無需密碼就可以在手機(jī)上登陸谷歌賬號(hào),唯一的屏障就剩下手機(jī)本身的鎖屏密碼。這聽起來超沒安全感的有木有?但是,谷歌卻說這樣做才是為了保障用戶賬號(hào)的安全,這到底怎么說?
沒有密碼竟然更安全?
密碼有時(shí)就像自行車上的那把鎖,無論車被偷過多少次,你依然相信有鎖比沒鎖安全得多。感覺會(huì)騙人,數(shù)據(jù)卻不會(huì)。
《完美密碼》(Perfect Password)的作者、安全研究人員Mark Burnett曾針對(duì)600萬組用戶名和密碼做過分析,結(jié)果發(fā)現(xiàn),有91%的用戶使用了最常用的1,000個(gè)密碼,有99.8%的用戶使用了最常用的10,000個(gè)密碼。其中,單單是直接將“password”用作密碼的人就占到了4.7%。
但有人說,那又怎樣,畢竟最常用的1,000個(gè)密碼也是各不相同的。這就帶來了第二個(gè)問題:年年歲歲,爛密碼相似,歲歲年年,黑客在進(jìn)步。破解神器Hashcat,每秒已經(jīng)可以給出300,000種猜測(cè)。而同時(shí)越來越多的研究表明,人們?cè)O(shè)置密碼的規(guī)律,其實(shí)比想象中簡(jiǎn)單,比如使用生日、姓名、常用詞匯或鍵盤上的相鄰按鍵組成密碼。
黑客的另一招,就是利用釣魚網(wǎng)站騙取用戶的私密信息。最常見的手段就是用高度仿真的假冒登陸頁面,引誘用戶輸入自己的賬號(hào)信息。
所以,即使沒有量子計(jì)算,現(xiàn)代加密技術(shù)也早已漏洞百出。繞了一大圈,再來看谷歌要?dú)⑺烂艽a這件事,似乎有那么點(diǎn)道理了。至于將把關(guān)權(quán)利轉(zhuǎn)移到用戶的手機(jī)上,谷歌是這樣考慮的:既然密碼已經(jīng)靠不住,不如讓用戶把“鑰匙”握在手里。
當(dāng)然,同意授權(quán)之前,用戶必須先解鎖手機(jī),因?yàn)槭褂眠@項(xiàng)新功能的前提就是手機(jī)本身必須有加密措施。而如果監(jiān)測(cè)到可疑登陸行為,谷歌也可能要求用戶重新輸入密碼。另外,遇到手機(jī)沒帶、沒電或丟失等情況,用戶也依然可以通過密碼登陸谷歌,然后進(jìn)行解綁操作。
我們熟知的密碼要進(jìn)博物館了?
其實(shí),谷歌不是第一次想要改變登陸方式、提高用戶賬戶安全了 ——前有生成登陸確認(rèn)碼的App Authenticator,后有提醒用戶可能需要在第三方網(wǎng)站輸入谷歌密碼的Chrome擴(kuò)展程序Password Alert;當(dāng)然,谷歌也不是科技界唯一一家想要?dú)⑺烂艽a的公司。
事實(shí)上,一批磨刀霍霍的公司早已為此成立了專門組織。2010年時(shí),大約是有感于傳統(tǒng)密碼的不靠譜,PayPal信息安全部主管Michael Barrett、指紋識(shí)別安全專家Ramesh Kesanupalli以及SSL之父Taher Elgamal進(jìn)行了一次三人會(huì)談。兩年后,三人創(chuàng)建了FIDO聯(lián)盟,一個(gè)致力于使企業(yè)放棄使用傳統(tǒng)密碼的組織,資金將由那些認(rèn)為自己可以從中獲益的企業(yè)提供。自成立之日起,F(xiàn)IDO就在連接指紋識(shí)別設(shè)備等硬件及與之對(duì)接的在線服務(wù)上,做出了許多努力。包括谷歌、微軟、美國銀行、萬事達(dá)在內(nèi),越來越多的企業(yè)開始加入進(jìn)來。
不久前在10月份,雅虎也剛剛推出一項(xiàng)新服務(wù)“Yahoo Account Key”,允許用戶只通過綁定的手機(jī)來驗(yàn)證身份(選擇“Yes”或“No”)就可以登陸雅虎郵箱,而無需輸入密碼。
林林總總的“殺密碼”手段大致都指向兩種趨勢(shì):一是去數(shù)字,二是讓手機(jī)來把關(guān)。前者解決的是傳統(tǒng)加密方式在新技術(shù)面前的脆弱,后者則是迎合了手機(jī)日益成為鑰匙一般貼身物品的現(xiàn)象。
嗯,其實(shí)廢話連篇的我只得出了一個(gè)很爽的結(jié)論:以后再也不用記密碼了。
京公網(wǎng)安備 11010502049343號(hào)