如果没有密码，那该怎么办?

 
根据基于风险的安全性的报告，仅在2019年的前六个月中，就有3,800多个公开披露的数据泄露事件。总体而言，这些违规行为暴露了41亿条受损的记录。在这些违规的65%中，密码被包含在泄漏的数据中。就像普通读者会知道的那样，仅密码就和将贵重物品存储在帐篷中一样安全。
问题在于，大多数人仍然幸福地没有意识到这一事实，并继续使用和重复使用那些目前在犯罪中流通的相同密码。被盗的密码很快就会在黑暗的网络上结束，以在网络犯罪社区内出售或自由流通。当Google对Chrome浏览器的密码检查扩展程序进行Beta测试时，在一个月内，它发现了316,000个仍在使用的被盗密码。与此同时，《 2019年Verizon数据泄露调查报告》确定，在所有与黑客相关的违规行为中，有80%使用了弱密码或被泄露的密码。
KnowBe4的安全意识倡导者Javvad Malik说：“在某种程度上总会需要密码，无论是作为备份机制还是对物理设备进行初始配对的一种手段”。
Cyber​​eason首席安全官Sam Curry同意：“我们已经尝试了25年才能到达那里，而且时钟还在滴答作响。短期内，我们最接近的是插页式代理层，它可以为用户提供比人工管理的密码更易于使用和更安全的东西，同时在后端管理大型，复杂且频繁更改的密码。”
微软显然将代理层视为一种生物识别技术，特别是面部识别。 2019年5月，Microsoft的加密，身份和身份验证团队组经理Yogesh Mehta表示“除黑客外，其他人都不喜欢密码”，并宣布微软将使使用Windows 10的9亿人“向没有密码的世界靠近一步” ”。
自2015年以来，Microsoft一直朝着这个无密码的方向发展，特别是引入了Windows Hello。在2018年11月，Windows 10用户开始能够使用面部识别安全地在网络上登录其Microsoft帐户，而无需输入密码。随着Windows 10 v1903的发布，Windows Hello成为经过FIDO2完全认证的身份验证器。
Google还暗示了有意进军生物识别领域的意图，即在2019年8月，Google在线安全博客公告告知Android用户，当在线访问某些Google服务时，“您可以通过使用指纹或屏幕锁而不是密码来验证您的身份。密码”。 FIDO2身份验证的另一个实例，这标志着Google首次启用了本机Android应用程序和在线服务使用相同的生物特征凭证。最大的问题是：实际上，在“代理层”角色中使用的技术是否更安全?
生物识别技术的安全性如何?
密码的明显替代形式是您可以统称为生物识别的形式：任何使用个人人类特征的度量的技术。在最长的时间内，指纹是生物识别安全性的最前沿。但是，最近的指纹扫描有一些转变，因为诸如苹果公司的iPhone和现在带有Google Pixel 4的公司已经从智能手机中删除了该选项，以支持面部识别。
出于安全考虑，有许多设计美学和生产成本方面的原因。但是从一开始，指纹技术就臭名昭著。德国的混沌计算机俱乐部(CCC)早在2004年就描述了一种欺骗指纹ID系统的方法。该方法包括拍摄指纹并使用厚墨粉将其激光打印到透明纸上，然后覆盖一层乳胶“牛奶”以进行生产。伪造的印刷品。通过在乳胶上呼吸(是的，是很认真的)，它变得足够湿润，以至于使当时的大多数指纹传感器变得愚蠢。 2013年，CCC使用相同的技术来欺骗iPhone 5s Touch ID。最近有报道说，神经网络生成“ DeepMasterPrint”人工指纹，可以成功地模仿生物识别系统中五分之一的指纹，其中错误率应不超过千分之一。
但是，您不必总是费力地绕过指纹扫描仪。就像发现廉价的2.70英镑凝胶屏幕保护膜可以使三星Galaxy S10的超声波扫描，3D脊线检测和指纹安全性一样好用。如果用户使用适当的屏幕保护膜注册了打印件，则其他任何人都可以解锁手机。三星很快通过直接发送给受影响用户的补丁修复了此问题，但它显示了指纹技术的缺陷。
这也不是说面部识别也很简单-远非如此。例如，一位《福布斯》记者利用3D打印的头部副本来欺骗许多面部识别系统。欺骗面部识别的奇特方法也少得多。 Google Pixel 4智能手机具有面部解锁系统，没有指纹保护。遗憾的是，早期的评论者发现，即使用户睁开眼睛，它也允许访问该设备!弄清楚这可能是一个安全漏洞并不需要天才，因为我们大家都要睡觉。
苹果的Face ID据称不是那么容易被愚弄，但是在2019年的黑帽拉斯维加斯黑客大会上，安全研究人员证明了做到这一点所需的所有眼镜，一些录像带和一个沉睡的iPhone用户。这是因为如果所有者戴眼镜，则Face ID流程的“活动”部分不会提取所有3D数据;而是为眼睛寻找黑色区域，为虹膜寻找白色点。黑客通过在白色胶带中用黑色覆盖中间的规格，然后在黑色胶带上打一个洞来重新创建它。荷兰研究人员发现，只需举起拥有者面部的照片，就可以欺骗100个被测试的智能手机中的42个。
日立称之为“手势生物识别技术”，这是我最近一直在研究的一项新兴技术，或者说是一种经过验证的成熟生物识别技术，可能会逐渐成为主流。这将成熟的手指静脉识别生物识别技术与可在任何配备摄像头的设备上运行的系统相结合;智能手机，笔记本电脑，台式机或独立进入系统。尽管您可能没有听说过指静脉生物识别技术，但自1997年该技术在日本ATM中使用以来，这已经成为一件事。世界各地的许多银行已经使用它替换了用于交易身份验证的密码。它与指纹扫描的不同之处在于，它无需映射手指的外表面来记录所有使指纹唯一的脊，而是使用环境光或红外光读取手指内部的静脉图案。与指纹相比，傻瓜还难得多，因为这种扫描需要动态的血流而不是静态的副本。
当然，加倍努力并非没有可能。我之前写过关于如何绕过读取手掌的静脉身份验证的文章。柏林混沌通信大会的研究人员展示了一种方法，该方法可以用2500张照片制作蜡手，并从相机上取下红外滤镜以捕获静脉图案。通过打印图案并用蜂蜡在其上分层，研究人员很好地模拟了人体组织，以使某些静脉识别系统蒙蔽。在现实世界中，在目标没有意识到的情况下捕获这2500张图像有多么容易，这完全是另一回事。
日立安全事业部(EMEA和NA)总经理Ravi Ahluwalia告诉我，“出于明显的原因，我不愿透露这些是什么，但有几种检测图片和假手的方法。”但是，该技术符合ISO / IEC 30107-3(用于测试“演示文稿攻击检测”的行业标准)的规范。可以肯定的是，捕获和克隆内部生物特征要比外部生物困难得多。
然后是这种技术的可用性和成本论证，这是大多数新的生物识别技术发展步履蹒跚的地方。很难以经济上可行的成本将易于使用的技术应用于智能手机等产品中。手势技术利用现有的智能手机摄像头，而无需任何其他传感器，并且用户只需在其前面挥手即可进行操作。不需要硬件令牌，智能卡或生物识别读取器。日立系统然后使用专有的单向算法创建数据集描述，以生成加密的模板而不是静脉图案的图像。加密模板对攻击者无用，因为其中没有存储可用的生物特征数据，这是重要的考虑因素，因为最近银行和警察使用的生物特征系统遭到破坏，这暴露了超过一百万公民的指纹。摄像机在这里可能被视为薄弱点，但是即使遭到破坏，攻击者所获得的仅仅是视频流。要利用身份验证过程本身，攻击者将需要对设备进行一定程度的访问和控制。这意味着安全性已经完全受到损害。
更强的密码
错误赏金平台HackerOne的技术程序经理Bill Lummis说：“密码是安全身份验证的最糟糕的选择，”并添加“除其他所有密码外”。他坚信，在可预见的将来，我们将只需要继续尝试使密码起作用。他说：“组织可以通过实施和推动甚至强制执行两因素身份验证来发挥自己的作用，以便即使密码被破坏，也能避免损害。”
NuData Security的副总裁罗伯特·卡普斯(Robert Capps)也认为，无密码还没有解决之道。他将大多数其他身份验证层(例如，由应用创建的一次性代码或通过文本消息发送的身份)视为“修补到急需替换的过时身份验证框架”。在替代用户身份验证以允许他们声明其真实身份之前，我们将继续使用用户名和密码解决方案，“尽管附加了更多功能，例如物理生物识别”。
我与安全供应商Lookout的首席战略官Aaron Cockerill进行了交谈，他谈到了我们进入无密码世界时需要更有效地处理的一件事：他所说的连续认证。 Cockerill说：“如果我们要更改通过身份验证识别人的方式，我们需要确保新系统不断评估身份。”智能手机是理想的选择，因为它是一小盒传感器，并且可以“持续分析最初通过系统身份验证的人是否与现在使用该系统的人相同”。
三星可能拥有第一个使之可行的技术。一项最新的专利表明，它正在开发一种技术，该技术本质上将允许“即时”两因素身份验证。当用户输入密码或PIN时，他们的指纹将同时作为辅助身份验证方法进行扫描。这听起来不那么愚蠢或不安全。通过读取输入密码的用户的指纹，第二层身份验证可确保它是实际用户，而不是有权访问设备的用户。
由于该专利包括多种选择，因此尚不清楚该技术何时上市。单个小的指纹读取输入区域，其中的数字或数字会滚动并在按下时输入，是其中之一。鉴于三星已经在为下一代Galaxy设备提供更大的屏幕指纹传感器，我更喜欢具有较大的身份验证区域的选项，该区域可以在用户键入，输入PIN甚至“刷卡”时读取指纹。模式。我怀疑这是否会在2020年看到，但2021年看起来确实可行。