您当前的位置:首页 > 电脑百科 > 程序开发 > 编程百科

Google开始淘汰传统密码,通行密钥时代或来临

时间:2023-05-05 11:47:37  来源:  作者:安全牛

 

在保护用户网络安全的战场上,密码一直都站在最前沿。但密码技术本身,也有着易遭破解、难于记忆、管理不便等不足和应用挑战。在今年的世界密码日前夕,google公司正式发布了一项新服务—— 通行密钥(Passkey),帮助用户以更简单、更安全的方式登录谷歌账号,以取代传统的密码口令登录模式。

 

谷歌身份与安全产品经理克里斯蒂安·布兰德表示:传统的密码验证模式已经不再适应当前的数字化应用发展水平,不仅用户体验感差,而且其技术本身也容易被恶意破解、钓鱼诈骗以及违规使用。而通过此次发布的Passkey技术,则可以有效避免这些问题的出现。

传统密码口令已死?

全球有数十亿用户每天都在不同设备上使用密码作为应用系统的登录口令,虽然密码的重要性不容小觑,但糟糕的密码管理和使用方法比比皆是。据2022年《Verizon数据泄露事件报告》数据显示,超过80%的数据泄露是由于被窃取或破解的账户密码所引发,但很多用户并没有意识到潜在的危险。

在采用密码技术之后,很多企业和个人都认为可以有效保护系统和敏感数据的访问安全。然而,传统密码登录验证模式的缺陷也非常明显:

首先,密码口令在本质上就是不安全的,它们可能被盗、被猜测或被暴力破解,特别是随着计算能力的提升,传统密码技术被破解的难度在不断降低;

其次,但很多情况下,用户并不了解如何正确使用(或设置)密码,弱密码和密码重用的情况普遍存在;

此外,我们每个人都在使用十多个甚至近百个密码,如何记住这么多的用户名和密码组合,还要定期更改,在管理上并不容易。尽管密码管理器可以帮助用户管理复杂密码,但也只是一个折中措施,无法从根本上保证安全性。

由于以上难以解决的不足和挑战,企业面临的最大安全风险之一就是将不安全的密码技术作为身份验证的主要方法。在此背景下,包括微软、苹果和Google在内的领先科技厂商都在积极开发一种更先进的无密码登录技术和标准,以实现更高的安全性和保护性。而本次Passkey服务功能发布,则是替代传统密码验证技术的一个重要标志。

Passkey其实并不是一种新技术,而是密码学中“非对称加密”在登录认证中的一种创新应用。Passkey可以被理解为是“生物密码”技术 和 “授权登录” 技术的结合。用户可以在Android 手机上创建一个基于公钥加密的密钥凭据,并需要对该凭据进行生物特征识别,比如 “指纹” 或者 “面部识别” 等。与传统密码相比,Passkey可以给用户带来更好的使用体验,而且能够更好地应对凭据盗窃、网络钓鱼和社会工程欺诈等攻击。

通行密钥推广应用的挑战

据布兰德介绍,Google计划在未来几个月重点推广Passkey,并敦促用户将传统的密码登录方式转换为Passkey。尽管我们非常期待以Passkey为代表的无密码技术带来易用性、安全性和广泛性等多维度的变革,但是要在更多企业组织中推广应用类似Passkey技术可能并不容易。

研究人员发现,阻碍无密码登录技术应用的关键因素并不是技术本身的缺陷或限制,而是由于很多企业中身份和验证管控的现状。很多企业中,身份管理和身份验证仍然是相对独立的,而很多广泛使用的应用程序在设计开发时,并没有合理考虑如何支持通行密钥等无密码登录验证新模式。尽管Passkey是一种解决身份安全验证和用户体验的有效办法。但是只有消除身份管理和身份验证之间的隔断,该技术才有希望真正在更多企业中落地应用。

此外,通行密钥要真正取代传统的密码验证方法,还必须能够广泛适配企业复杂的数字化环境,包括能够兼容各种网站应用、智能手机和桌面应用程序,同时还要支持数量众多的操作系统版本和环境。这对服务提供商将是一个棘手问题,因为这意味着必须在所有这些环境中安全、稳定、便捷地共享使用密钥,要实现这种互操作性并不容易。

同时,面向企业级用户和面向消费者的通行密钥解决方案在设计和实施上也会存在巨大差异。消费级产品主要需求是管理数百万个通行密钥,需要弹性扩展能力以支持这种巨大的工作负载。而企业组织更希望让所有员工能够更安全地在各种设备、浏览器和网站之间实现互操作性,因此需要将密钥与使用者的身份进行强验证和绑定。

诚然,无密码技术应用的时代已到来。但是要构建企业级通行密钥解决方案还需要研究人员继续努力。也许到了2024年的世界密码日,我们就可以看到传统密码验证技术的真正消亡。



Tags:通行密钥   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
Google开始淘汰传统密码,通行密钥时代或来临
在保护用户网络安全的战场上,密码一直都站在最前沿。但密码技术本身,也有着易遭破解、难于记忆、管理不便等不足和应用挑战。在今年的世界密码日前夕,Google公司正式发布了一...【详细内容】
2023-05-05  Search: 通行密钥  点击:(435)  评论:(0)  加入收藏
苹果官方详解iPadOS 16正式版:全新台前调度,Safari通行密钥,新增天气App等
IT之家 10 月 25 日消息,苹果今天宣布,iPadOS 16 今日正式发布。iPadOS 16 带来全新强大效率与协作功能,进一步提升 iPad 多用性。IT之家获悉,iPadOS 16 进一步提升了 iPad 多用...【详细内容】
2022-10-25  Search: 通行密钥  点击:(363)  评论:(0)  加入收藏
▌简易百科推荐
即将过时的 5 种软件开发技能!
作者 | Eran Yahav编译 | 言征出品 | 51CTO技术栈(微信号:blog51cto) 时至今日,AI编码工具已经进化到足够强大了吗?这未必好回答,但从2023 年 Stack Overflow 上的调查数据来看,44%...【详细内容】
2024-04-03    51CTO  Tags:软件开发   点击:(6)  评论:(0)  加入收藏
跳转链接代码怎么写?
在网页开发中,跳转链接是一项常见的功能。然而,对于非技术人员来说,编写跳转链接代码可能会显得有些困难。不用担心!我们可以借助外链平台来简化操作,即使没有编程经验,也能轻松实...【详细内容】
2024-03-27  蓝色天纪    Tags:跳转链接   点击:(13)  评论:(0)  加入收藏
中台亡了,问题到底出在哪里?
曾几何时,中台一度被当做“变革灵药”,嫁接在“前台作战单元”和“后台资源部门”之间,实现企业各业务线的“打通”和全域业务能力集成,提高开发和服务效率。但在中台如火如荼之...【详细内容】
2024-03-27  dbaplus社群    Tags:中台   点击:(9)  评论:(0)  加入收藏
员工写了个比删库更可怕的Bug!
想必大家都听说过删库跑路吧,我之前一直把它当一个段子来看。可万万没想到,就在昨天,我们公司的某位员工,竟然写了一个比删库更可怕的 Bug!给大家分享一下(不是公开处刑),希望朋友们...【详细内容】
2024-03-26  dbaplus社群    Tags:Bug   点击:(5)  评论:(0)  加入收藏
我们一起聊聊什么是正向代理和反向代理
从字面意思上看,代理就是代替处理的意思,一个对象有能力代替另一个对象处理某一件事。代理,这个词在我们的日常生活中也不陌生,比如在购物、旅游等场景中,我们经常会委托别人代替...【详细内容】
2024-03-26  萤火架构  微信公众号  Tags:正向代理   点击:(11)  评论:(0)  加入收藏
看一遍就理解:IO模型详解
前言大家好,我是程序员田螺。今天我们一起来学习IO模型。在本文开始前呢,先问问大家几个问题哈~什么是IO呢?什么是阻塞非阻塞IO?什么是同步异步IO?什么是IO多路复用?select/epoll...【详细内容】
2024-03-26  捡田螺的小男孩  微信公众号  Tags:IO模型   点击:(9)  评论:(0)  加入收藏
为什么都说 HashMap 是线程不安全的?
做Java开发的人,应该都用过 HashMap 这种集合。今天就和大家来聊聊,为什么 HashMap 是线程不安全的。1.HashMap 数据结构简单来说,HashMap 基于哈希表实现。它使用键的哈希码来...【详细内容】
2024-03-22  Java技术指北  微信公众号  Tags:HashMap   点击:(11)  评论:(0)  加入收藏
如何从头开始编写LoRA代码,这有一份教程
选自 lightning.ai作者:Sebastian Raschka机器之心编译编辑:陈萍作者表示:在各种有效的 LLM 微调方法中,LoRA 仍然是他的首选。LoRA(Low-Rank Adaptation)作为一种用于微调 LLM(大...【详细内容】
2024-03-21  机器之心Pro    Tags:LoRA   点击:(12)  评论:(0)  加入收藏
这样搭建日志中心,传统的ELK就扔了吧!
最近客户有个新需求,就是想查看网站的访问情况。由于网站没有做google的统计和百度的统计,所以访问情况,只能通过日志查看,通过脚本的形式给客户导出也不太实际,给客户写个简单的...【详细内容】
2024-03-20  dbaplus社群    Tags:日志   点击:(4)  评论:(0)  加入收藏
Kubernetes 究竟有没有 LTS?
从一个有趣的问题引出很多人都在关注的 Kubernetes LTS 的问题。有趣的问题2019 年,一个名为 apiserver LoopbackClient Server cert expired after 1 year[1] 的 issue 中提...【详细内容】
2024-03-15  云原生散修  微信公众号  Tags:Kubernetes   点击:(6)  评论:(0)  加入收藏
站内最新
站内热门
站内头条