干掉了体验很差的网银,让网络上的小额交易变得极为简单便利是支付宝、微信支付这类产品的一大功劳。曾经我长篇大论吐槽过银行的认证机制,是如何因为机制死板像官僚机构一样“让我证明我是我本人”的故事。但是,银行毕竟是银行,它在某些层面的不让步,也从物理层面最大程度保障了资产安全。
如今金融体系和个人隐私都在线上打交道,也让Google这样的企业开始重新思考认证机制,将最老套、有效的USBKey作为防范安全风险的手段。
Engadget中国昨天报道了Google 内部要求85000 名员工使用实体安全密码锁取代传统密码作为身份认证手段的新闻(2017年便开始),也指出像Yubikey这类第三方机构出品的实体密码锁也开始支持chrome、firefox等浏览器了。
这也让我好奇,以数字机制为至上策略的科技公司们为何开始选择回归这类产品?它真的能让我们在网络上更加安全吗?
理论上可以有效防范黑客
网络安全是个宏大的议题,不仅仅是我们行为习惯存在弊病,企业防范措施、白帽子揭露漏洞机制和技术本身的更迭都会带来潜在风险。
每年喜闻乐见的“最常见密码揭露”都没有什么大致区别,过去是最常用的“123456789”仍雄踞榜首,但是也出现了“password”这类骗自己的单词类密码。
随着网络攻击和安全事件不断产生,越来越多的人开始重视“两步验证”和复杂密码选项,例如Lastpass、1Password和苹果自带的iCloud钥匙串等工具的发展,佐证了市场的前景。
但是,从心底来讲,将密码交由这些工具管理、设置,总有几分担心。虽然传输协议是高等级加密、虽然他们承诺自身的职责,但是随着简便易用程度的上升,越来越多的密码被交付给了它们,万一哪天泄露就只有做透明人的份了。
据Geek用户观点,Lastpass 需要依赖第三方云服务同步密码,安全性大大削弱,而1Password则有主机被攻击的风险,Lastpass已然有前车之鉴被多次攻击的情况出现。这类产品虽然是一种创新,但是却利用了用户们的惰性,懂安全的人永远更加安全,不懂的潜在风险也会极具提升。
当人们从网络层面保护网络安全时,实际上在担负更多成本和风险,所以USBKey这类产品重获推崇是有一定的道理的,那句始终不变的俗语---“不联网的电脑最安全”指出了物理安全才是最佳手段。
例如Yubikey这类产品支持OTP(动态口令验证)、公钥加密签名、U2F协议(物理设备的双因素认证协议)等手段防范黑客攻击,就可以将一些常用的保护途径加固,不再像邮件、短信和设备通知那样容易被破解。
虽然理论上如此,但是此类产品仍有各种缺陷。
覆盖和易用性成为障碍
对于不善记忆密码的普通人来讲,设置无序且与自己无关的复杂密码、用本子记下来多处备份后,仍比那些密码管理工具更加安全,这就是典型的物理安全理论。
这样做的好处是,你不是重要人物没人盯着你的起居、冒风险偷你的密码本,即便某次网络安全事故某个账户密码泄露,你的损失也仅此而已。不会像很多用同一个密码的人可以被社会工程学一下攻破所有账户。
不过这显然是与人性相悖的,Yubikey这类产品想要利用这种理论成为管理工具的实体替代品,切合了人性懒惰的特征和市场。
例如此产品支持的U2F协议,可以实现Google产品和一众国外知名网络服务的二次验证,只需要插入验证设备轻触即可完成;理论上这种认证协议是无法破解的,即便拿到了Yubikey这类产品。
这就像一个动态加密的密码本,只有你和对方知道如何使用算法,即便有人拿到密码本,也无法破解算法内容进行“密码战”,设备丢失后可以选择注销设备权限等手段,所以损失是可控的。
U2F是此类产品中安全性最高的认证协议,是本地运算签名的一种防范措施,但是OTP、和公钥加密签名等认证手段,则需要依赖传输、保管、验证各个环节环环相扣,理论上安全性和应用程度更低,可以利用某一环节漏洞反推破解。
不过,就连这两项不太安全的协议,在我国很多网站仍没有得到有效推行,即便支持、你购买Yubikey这类产品,也需要一定程度的编程知识,导入所需的认证内容。
不像Google那么拥有Geek属性,考虑到最优解有自家的U2F认证产品,买来就可以上手实现防范。所以总结起来,市场前景广阔,但也需要业界各方跟进,不断提升安全意识、给用户一个最简便有效的方法,也让自家产品获得牢不可破声誉。
