十年来的大部分时间里,我一直认为密码是可怕的,并且是更好的万能钥匙方法的热情早期采用者。
万能钥匙被认为是一种比密码更安全且易于使用以至于每个人都会采用的方法的圣杯。但一篇新文章概述了该技术的四个问题……
密钥比密码更安全
密码存在许多安全问题:
- 网站可能知道它们,即使它们被认为是加密的
- 非技术人员倾向于重复使用密码,因此数据泄露是一个很大的问题
- 密码容易受到网络钓鱼攻击
万能钥匙解决了这一切。当我们登录时,我们不会被要求提供用户名和密码,而是会被邀请使用密钥。通过此系统,网站或应用程序会要求我们的设备使用 Face ID 或 Touch ID 来对我们进行身份验证。该设备告诉网站我们是谁,并且它已经确认了我们的身份。
Web 服务器信任您的设备对您进行身份验证,就像支付终端信任您的 iPhone 或 Apple Watch 进行 Apple Pay 交易一样,因为它知道您已在本地使用生物识别技术进行了身份验证。
理论上,万能钥匙要简单得多
当我们创建帐户时,应该可以选择使用密钥,我们所要做的就是同意。我们的设备对我们进行身份验证,并且该服务创建我们的帐户。下次登录时,我们只需使用 Face ID 或 Touch ID 即可登录。
但有四大问题
如果您只使用 Apple 设备,并在所有设备上使用 Safari 作为网络浏览器,那么密钥就变得非常简单。 iCloud 同步意味着在一台 Apple 设备上创建的帐户可以在所有其他设备上访问。
但正如Arstechnica指出的那样,在很多情况下,现实与承诺存在很大差异,首先是用户体验不一致。
在 Windows 上使用密码登录 PayPal 的体验与在 iOS 上登录同一网站甚至在 Android 上使用 Edge 登录的体验有所不同。忘记尝试在 Firefox 上使用密码登录 PayPal。支付网站在任何操作系统上都不支持该浏览器。
更糟糕的是,密钥与特定的浏览器相关联。
另一个例子是当我在 Firefox 上为我的 LinkedIn 帐户创建密钥时。由于我在平台上使用各种浏览器,因此我选择使用 1Password 密码管理器来同步密钥。理论上,该选择允许我在任何可以访问 1Password 帐户的地方自动使用此密钥,这是其他方式不可能实现的。但事情并不那么简单。当我查看 LinkedIn 设置中的密钥时,它显示为是为 Mac OS X 10 上的 Firefox 创建的,尽管它适用于我使用的所有浏览器和操作系统。
第三个问题是,谷歌和苹果等公司可能会强迫您使用他们自己的密钥管理系统,即使您有不同的偏好,有时甚至当您已经设置了密钥时也是如此。
我只想使用 1Password 同步到我所有设备的密钥打开 LinkedIn。不知何故,负责此消息的神秘实体(在本例中为 Google)劫持了该进程,试图说服我使用其平台。
另外,请考虑 WebAuthn.io 上的体验,该网站演示了该标准如何在不同场景下工作。当用户想要注册物理安全密钥以登录 macOS 时,他们会收到一个对话框,引导他们改用密钥并通过 iCloud 同步。
最后,事实是,虽然万能钥匙的全部目的是消除密码造成的安全漏洞,但几乎每个服务都强制您创建密码登录。
据我所知,在数百个支持密钥的网站中,没有一个网站允许用户完全放弃密码。密码仍然是强制性的 […] 威胁行为者将利用这一缺陷设计黑客攻击和社会工程攻击。然后我们就回到了之前的位置。
整篇文章非常值得一读。
照片由 Unsplash 上的 TheRegisti 拍摄
免责声明
部分内容(图片、文章)翻译/转载自国内外资讯/自媒体平台。文中内容不代表本站立场,如有侵权或其它,请联系 macmao.com@gmail.com,我们会第一时间配合删除。(转载请注明来源自:www.macmao.com)