网站首页 > 技术文章 正文
谷歌最近铁了心要和密码过不去。
上周,谷歌刚公布在量子计算领域取得突破性进展,量子计算在密码破解上的巨大潜力,意味着现行加密技术将危在旦夕,本周,谷歌再放大招,宣布他们正在测试一项将要杀死密码的新功能……(谷歌你别闹,这世界已经够没安全感了好吗?)
不用密码登陆怎么玩?
其实没有那么玄乎……这项新功能就是让用户将自己的谷歌账号授权给手机,然后通过手机实现免密登陆。根据The Verge报道,一位刚刚受邀体验这项功能的安卓用户Rohit Paul在Reddit上披露了细节:用户通过在网页端登陆谷歌账号向手机发送短信,然后根据短信内容输入验证信息向手机授权,就和我们输入验证码登陆网银类似。
Rohit Paul体验截图 来源:The Verge
这样,以后用户无需密码就可以在手机上登陆谷歌账号,唯一的屏障就剩下手机本身的锁屏密码。这听起来超没安全感的有木有?但是,谷歌却说这样做才是为了保障用户账号的安全,这到底怎么说?
没有密码竟然更安全?
密码有时就像自行车上的那把锁,无论车被偷过多少次,你依然相信有锁比没锁安全得多。感觉会骗人,数据却不会。
《完美密码》(Perfect Password)的作者、安全研究人员Mark Burnett曾针对600万组用户名和密码做过分析,结果发现,有91%的用户使用了最常用的1,000个密码,有99.8%的用户使用了最常用的10,000个密码。其中,单单是直接将“password”用作密码的人就占到了4.7%。
但有人说,那又怎样,毕竟最常用的1,000个密码也是各不相同的。这就带来了第二个问题:年年岁岁,烂密码相似,岁岁年年,黑客在进步。破解神器Hashcat,每秒已经可以给出300,000种猜测。而同时越来越多的研究表明,人们设置密码的规律,其实比想象中简单,比如使用生日、姓名、常用词汇或键盘上的相邻按键组成密码。
1000万组密码中最常用的词汇及词群 图片来源:wpengine.com
黑客的另一招,就是利用钓鱼网站骗取用户的私密信息。最常见的手段就是用高度仿真的假冒登陆页面,引诱用户输入自己的账号信息。
所以,即使没有量子计算,现代加密技术也早已漏洞百出。绕了一大圈,再来看谷歌要杀死密码这件事,似乎有那么点道理了。至于将把关权利转移到用户的手机上,谷歌是这样考虑的:既然密码已经靠不住,不如让用户把“钥匙”握在手里。
当然,同意授权之前,用户必须先解锁手机,因为使用这项新功能的前提就是手机本身必须有加密措施。而如果监测到可疑登陆行为,谷歌也可能要求用户重新输入密码。另外,遇到手机没带、没电或丢失等情况,用户也依然可以通过密码登陆谷歌,然后进行解绑操作。
我们熟知的密码要进博物馆了?
其实,谷歌不是第一次想要改变登陆方式、提高用户账户安全了 ——前有生成登陆确认码的App Authenticator,后有提醒用户可能需要在第三方网站输入谷歌密码的Chrome扩展程序Password Alert;当然,谷歌也不是科技界唯一一家想要杀死密码的公司。
事实上,一批磨刀霍霍的公司早已为此成立了专门组织。2010年时,大约是有感于传统密码的不靠谱,PayPal信息安全部主管Michael Barrett、指纹识别安全专家Ramesh Kesanupalli以及SSL之父Taher Elgamal进行了一次三人会谈。两年后,三人创建了FIDO联盟,一个致力于使企业放弃使用传统密码的组织,资金将由那些认为自己可以从中获益的企业提供。自成立之日起,FIDO就在连接指纹识别设备等硬件及与之对接的在线服务上,做出了许多努力。包括谷歌、微软、美国银行、万事达在内,越来越多的企业开始加入进来。
不久前在10月份,雅虎也刚刚推出一项新服务“Yahoo Account Key”,允许用户只通过绑定的手机来验证身份(选择“Yes”或“No”)就可以登陆雅虎邮箱,而无需输入密码。
林林总总的“杀密码”手段大致都指向两种趋势:一是去数字,二是让手机来把关。前者解决的是传统加密方式在新技术面前的脆弱,后者则是迎合了手机日益成为钥匙一般贴身物品的现象。
嗯,其实废话连篇的我只得出了一个很爽的结论:以后再也不用记密码了。
*文章为作者独立观点,不代表虎嗅网立场
猜你喜欢
- 2024-10-29 程序员之网络安全系列(四):数据加密之非对称秘钥
- 2024-10-29 还对这两个概念认识模糊?简述对称加密和非对称加密
- 2024-10-29 一文详细解读https 一文移相全桥拓扑原理详解解析
- 2024-10-29 软考-信息安全工程师学习笔记-第3章密码学基本理论(1)
- 2024-10-29 量子计算机真的可以破解任何密码吗?
- 2024-10-29 谈谈HTTPS演变过程 鼠的演变过程图解
- 2024-10-29 高考数学九省卷的变化与影响 高考数学第9题
- 2024-10-29 区块链百科之 数 字 签 名 区块链中大量用到数字签名技术
- 2024-10-29 对称加密与非对称加密,到底有啥区别?
- 2024-10-29 软考-信息安全工程师学习笔记11——数字签名
你 发表评论:
欢迎- 最近发表
-
- 在 Spring Boot 项目中使用 activiti
- 开箱即用-activiti流程引擎(active 流程引擎)
- 在springBoot项目中整合使用activiti
- activiti中的网关是干什么的?(activiti包含网关)
- SpringBoot集成工作流Activiti(完整源码和配套文档)
- Activiti工作流介绍及使用(activiti工作流会签)
- SpringBoot集成工作流Activiti(实际项目演示)
- activiti工作流引擎(activiti工作流引擎怎么用)
- 工作流Activiti初体验及在数据库中生成的表
- Activiti工作流浅析(activiti6.0工作流引擎深度解析)
- 标签列表
-
- oraclesql优化 (66)
- 类的加载机制 (75)
- feignclient (62)
- 一致性hash算法 (71)
- dockfile (66)
- 锁机制 (57)
- javaresponse (60)
- 查看hive版本 (59)
- phpworkerman (57)
- spark算子 (58)
- vue双向绑定的原理 (68)
- springbootget请求 (58)
- docker网络三种模式 (67)
- spring控制反转 (71)
- data:image/jpeg (69)
- base64 (69)
- java分页 (64)
- kibanadocker (60)
- qabstracttablemodel (62)
- java生成pdf文件 (69)
- deletelater (62)
- com.aspose.words (58)
- android.mk (62)
- qopengl (73)
- epoch_millis (61)
本文暂时没有评论,来添加一个吧(●'◡'●)