谷歌正一步步接近淘汰密码。该解决方案称为“密钥”,这是一种独特形式的密码,存储在您的手机或 PC 本地,就像物理安全密钥的工作方式一样。密钥受到一层身份验证的保护,可以是您的指纹或面部扫描,也可以只是屏幕上的图案或 PIN 码。
万能钥匙速度更快,跨平台链接,让您免去记住您所订阅的网站或服务密码的麻烦。人为错误的范围更小,二步验证码被拦截的风险也降低了。
谷歌与微软和苹果合作开发,目前正在采取下一步措施,将密码作为默认登录选项,使其成为主流。您不会被迫放弃常用的登录方法,但如果您尚未启用密钥,则下次使用您的 Google 帐户进行登录请求时,系统会提示您。
为什么密钥比密码更好
万能钥匙采用所谓的数字握手,其中涉及使用加密方法创建一对密码。一份存储在应用程序或网络服务中,另一份则保留在用户手中,并受到设备上密码或生物识别身份验证的保护。不涉及双因素代码,您所需要做的就是点击设备上的提示以允许身份验证。
Trevor Hilligoss 曾担任 FBI 安全专家,目前在 SpyCloud 负责安全研究,他告诉 Digital Trends,密钥“本质上很强大,这就是为什么许多安全团队更喜欢这种防御模式。”这里最大的优点是它们不会像数据泄露中的普通字母数字密码一样被转储。由于多种原因,这是一个问题,因为大量数字公民在不同的服务中重复使用相同的密码或可预见的修改形式的密码。
万能钥匙更快(根据 Google 的说法,速度提高了 40%)、更安全、更方便。但 Hilligoss 警告说,它们并不是数字安全的灵丹妙药。 “网络犯罪分子正在迅速适应这项技术,将他们的注意力从窃取帐户凭据转移到帐户恢复方法,开发窃取密钥的策略并发起会话劫持等攻击。”
万能钥匙很好,但并不完美
Hilligoss 指出了一种称为会话劫持(也称为 cookie 劫持)的技术,其中黑客试图控制您的在线浏览会话以窃取敏感数据。从本质上讲,不良行为者会欺骗网站,使其认为自己是合法用户。当用户访问网站时,会创建一个会话 ID,该 ID 通常会保持活动状态数天。
该会话数据以数字和字母的形式存储在临时会话 cookie 中,并保留在浏览器中,直到用户注销。黑客可以通过将脚本注入网页、拦截网络流量、在受害者设备上欺骗性地安装恶意软件或简单地使用模式预测来窃取会话 ID。
Hilligoss 补充道:“一旦攻击者劫持了网络会话,他们就可以执行原始用户可以执行的任何操作,包括购买物品、窃取机密个人信息或访问银行帐户。”在此类攻击中,是否允许使用传统密码或密钥登录并不重要。
这一切对你意味着什么
密钥与 Google 密码管理器绑定,而 Apple 将 iCloud 钥匙串纳入考虑范围,这意味着密钥也可以跨设备同步。默认情况下,Google 还会自动为新激活的 Android 设备创建密钥。然而,当我们留下密码时,黑客也在采用更复杂的技术。
万能钥匙也无法阻止其他形式的网络攻击,例如各种形式的恶意软件部署、诈骗者冒充银行官员打电话(你好,生成式人工智能地狱)、社会工程攻击等等。万能钥匙只能解决安全缺陷的一个方面,但它们却是一种万能药。
随着第三方服务慢慢接受密钥,数字素养在未来几年仍将至关重要。 Hilligoss 建议人们应该更喜欢基于应用程序的双因素身份验证,定期更改密码,仔细检查收到的 URL 和链接,并对来自未知号码的电话保持警惕。
“适当的网络卫生和对在线帐户的可见性将大大有助于领先于网络犯罪分子,”他总结道。