这种低成本设备可能是世界上防止客户收购的最大希望

2020-01-08 11:36:27

过去五年见证了一系列似乎永无止境的高调收购。越来越多的安全从业人员已经达成共识:即使是长期的随机生成的密码也不足以锁定电子邮件和其他类型的在线资产。根据共识,这些资产需要增加第二个认证因素。

现在,一项对5万多名谷歌员工的两年期研究得出结论,基于密码学的安全密钥击败了智能手机和大多数其他形式的双因素验证。

安全密钥是基于通用第二因素,这是一个开放的标准,易于最终用户使用和简单的工程师缝合到硬件和网站。当插入标准USB端口时,密钥提供了一个“密码断言”,攻击者几乎不可能猜测或phish。帐户可以要求密码密钥除了一个正常的用户密码时,用户登录。谷歌、Dropbox、GitHub和其他网站已经在他们的平台上实现了这一标准。

经过两年多的公共实施和内部研究,谷歌安全架构师已经宣布安全密钥是他们首选的双因素认证形式。架构师的评估基于使用和部署密钥的方便性、它对钓鱼和其他类型的密码攻击提供的安全性,以及在其他一些形式的双因素认证中缺乏隐私权衡。

在最近发表的一份报告中,研究人员写道:

我们已经在Chrome浏览器中提供了对安全密钥的支持,并将其部署在谷歌的内部登录系统中,并将安全密钥作为谷歌Web服务中可用的第二个因素启用。在这项工作中,我们证明了安全密钥不仅提高了安全性和用户满意度,而且降低了支持成本。

其他形式的双重认证包括使用手机通过短信接收一次性密码,或使用智能手机生成此类一次性密码。然后,登录时需要附加密码。第二种形式涉及智能卡,它也提供加密断言。第三种形式依赖于基于传输层安全协议的数字证书,该协议使用秘密密钥对最终用户进行服务或帐户身份验证。

由于各种原因,使用电话进行双重认证是有问题的。一方面,一次性密码通常可以使用相同的技术来欺骗终端用户泄露他们的正常密码。手机也面临着恶意软件攻击的风险,破坏了一次性密码的保密性。使用手机通过短信短信接收一次性密码尤其危险,因为除了上面列出的所有风险之外,还有可能拦截到这些信息。电话可能并不总是有信号或可能耗尽电源,限制,使他们无法使用时,登录。

谷歌研究人员说,智能卡也存在问题,因为它们通常需要定制阅读器硬件和在任何将用于登录的计算机上安装驱动软件。这使得智能卡更难在大量设备上使用。还有一个问题:在一些国家,这类卡是由国家政府提供的,令人担忧的是,这些卡可以用来跟踪用户的在线使用情况。

多年来,用于验证用户身份的TLS证书一直是一种选择,但它们从未流行过。研究人员说,这很可能是因为它们对于普通用户来说太麻烦,无法生成,而TLS证书也太有可能跨网站泄露用户的身份。TLS认证证书也向任何网络对手透露用户的身份.更重要的是,它们不是便携式的,这意味着普通用户很难在多台计算机上轻松使用它们。

与替代方案相比,安全密钥提供了安全性、可用性和隐私的最佳组合。他们的售价只有10美元,尽管一些更受欢迎的品牌-比如Yubico的U2F安全密钥-售价为18美元。它们比门钥匙小,插入电脑的USB插槽,不需要电池。

在希拉里·克林顿(Hillary Clinton)竞选主席约翰·波德斯塔(John Podesta)的Gmail账户通过简单的钓鱼伎俩达成妥协后,越来越多的人意识到了双重认证的关键重要性。虽然有各种各样的方法来实现它,但研究论文提出了一个令人信服的例子,即基于U2F标准的安全密钥是最好的方法。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。