国外有用户指出,密码如今已经是一种非常过时的安全保护方式了,应该把它尘封到历史之中,支持这个观点的还有联邦贸易委员会首席技术专家罗丽·克兰纳(Lorrie Cranor),她在最近的一次安全大会上表示,政府部门定期修改密码的建议其实会让情况变得更糟糕。
她指出因为需要定期修改密码,因此很多人会遵照某种可预测的固定的模式去设置密码,经常是数字的堆叠增加,比如 001、002 等。其实这样设置密码的何止那些需要定期修改密码的大型企业,不少用户自己也会这样设置和修改自己的密码。还有一些人的做法是:因为需要定期修改密码,所以直接选择修改当日日期来作为密码,修改密码的时间差就在一两天之内。这样设置和修改密码,不仅让攻击者很容易就能破解你的密码,他们也可以在这个密码的基础上预测你未来可能使用的密码。
研究人员利用他们发现的密码变形方式开发出一种算法,以预测用户未来可能会使用的密码,这种算法所作出的预测准确度非常高。然后这些研究人员又模仿现实世界去攻击破解密码。在线攻击中,攻击者在被攻击网络将他们锁定之前可以尽可能多地猜测和尝试密码,有 17% 的账户密码在不足5次的尝试之下就被破解了。离线攻击下,使用超高速计算机通过恢复哈希密码的方式来破解的话,41% 更改后的密码在 3 秒钟内就被破解了。
也就是说密码本身就是不安全的,而任何想要提升密码安全度的尝试最后被证明会带来反效果。
当然苹果公司目前已经推出多种方法减少用户对密码的依赖,包括和 iPhone 5s 同步上线的 Touch ID、支持用户通过 Apple Watch 自动解锁 Mac 等。未来如果 Touch ID 能够整合到 Mac 上就更好。但是 Touch ID 只能部分解决这个问题,它还不能让系统完全消除对密码的依赖,而且今年早些时候 iOS 上的一个不引人注意的变化其实会让用户更需要 iOS 密码。
双因素验证用于提升密码的安全性,但这还远远达不到完美的标准。除了其本身存在的缺陷,设置过程麻烦,消费者教育工作薄弱等,这些因素都让很多用户不愿意尝试和使用这种验证方式。
密码技术是在公元前 200 年发明的,于 1961 年首次出现在电脑上,而看起来 55 年后(或者 22 世纪)我们能够让这种技术变得更好。
汇丰银行在今年早些时候表示,他们将会全面支持生物安全技术,取代密码和密保问题,全面推行 Touch ID 和声音识别——苹果是这些转变的技术关键。其他财政机构目前也采取相同的措施。
苹果的 Touch ID 的 Secure Enclave 被密码锁定,所以在设备重启后就需要解锁才能启动 Secure Enclave,这就是我们为什么在重启后需要输入数字密码才能再次使用 Touch ID 的原因。也就是说 Touch ID 还不能完全取代密码,但这并不意味着在未来的设备中就没有合适的技术解决方案,以便设备可以完全放弃使用密码。
目前除了密码之外,生物验证技术方面包括指纹识别、声音识别、瞳孔识别和脸部识别等都是比较常见的解决方案,它们都有取代密码的潜力。
那么为什么苹果应该是这场“密码淘汰革命”的领导者呢?原因一共有三:
第一苹果公司重视可用性。Apple I 可能是一款具有开创性意义的产品,不过此后苹果的商业模式就是在已有产品的基础上,对这些产品进行升级,让它们以其该有的方式呈现在人们的面前。在很多关于实用性的合理测试中,密码的表现都不怎么样,就这个原因也足以让苹果去寻找其他可替代方案。
第二苹果公司大力支持隐私和安全保护,而如今密码已经不能达到苹果想要的安全保护水平。在暴力攻击和网络钓鱼等攻击手段面前,密码都败下阵来。
第三,很多时候只要有苹果带头,其他公司和厂商就会纷纷地跟随苹果的脚步。目前密码还是默认的安全解决方案。我们使用密码不过是因为别人也在使用。苹果公司一直以来都敢于淘汰旧技术,从软驱到 30 针接口,今年可能还会淘汰 3.5mm 耳机接口。只要你想,你就可以“不同凡想”。苹果公司不做第一,但是会后发制人,只要他们支持某样东西,那么在大众消费者市场这样东西就是合理的。市场不仅能够接受它,甚至还会趋之若鹜。
你认为密码是否应该被其他新生的技术所取代?或你认为它还能够继续发挥非常重要的作用?