密码将会消失?
科技的进展让我们快速实现了过去仅限于想象的技术,而且所有的先进技术都迅速消弭了跨入消费领域的障碍。但作为让人与机器连结更加紧密的技术,生物识别是否真如我们想象中安全,难以破解,仍然有待验证。
在生物辨识技术向前发展的同时,传统密码遭遇的挑战也愈来愈大。人们设定的密码大多有所依循,且绝大多数与自身有关联。这是密码为何轻易在黑客攻击后泄露的最主要原因。完全采用粗糙的伪随机复杂字符串组成的密码能让黑客却步,但却会为难更多用户。而生物辨识技术则将我们身上的一部份变成密码。不必再担心是否忘了带门禁卡、手机或其他设备。
不过,要实现这个理想,技术上仍需要非常大的跨越。包括谷歌(Google)在内的许多公司,正藉由集结厂商组成联盟的力量,为未来的身分验证寻找新的方法。因此,包括EyeLock、Netflix、Google、Paypal等118个会员公司,在2013年共同成立了FIDO联盟,旨在创新更简单、安全性优于传统密码的崭新标准。
FIDO联盟创办人暨主席Ramesh Kesanupalli指出,目前业界面临的最大挑战,是如何找到一种维持平衡的方法。首先,大多数的互联网用户的密码都相当脆弱。据调查,有高达76%的网络用户都习惯为多个网站采用相同的密码。而大部份的密码都不难破解。尽管愈来愈多网站采用双重身分认证机制,但Kesanupalli认为,长久来看这并不是可行的解决方案,因为双重身分认证系统的成本较高,过程繁琐,且会大幅增加登录过程的困难度。
而FIDO创建宗旨就是创造出强度非常高,但能让用户简单验证的密码。FIDO标准的关键之一是通用认证框架(UHF),据称能完全让用户从繁琐的密码中解放出来。已通过FIDO认证的设备和软件将会产生针对站点和服务的安全密钥。当用户导航到任何一个站点时软件都会传送密钥。反过来,站点也会要求用户证明其身分。用户可利用各种验证方法来响应这些要求,例如虹膜认证。
FIDO的主要特性之一是能够完好保存敏感信息,如生物特征数据。用户的生物特征ID由本地设备储存,并不会被传送到网络站点去。更重要的是每一个站点都具有一个独特的、用户永远不需要知道的非对称式密钥。
许多IT/互联网产业的知名公司,都关注着下一代身分验证技术的进展。AOL公司消费识别服务部首席架构师George Fletcher指出,下一世代的识别管理中,识别技术的重要性将远胜过凭证验证。过去让用户输入正确密码的做法已经过时,“我们必须为身分验证考虑更多因素,以保障用户或设备的存取安全。”随着物联网逐渐成为一种标准概念,未来广大的用户将面临更大难题──无论是人或设备,究竟谁有权利能访问我的温度控制器?我又将如何赋予他们权限?
Monsanto公司首席架构师Anthony Randall认为,下一世代的识别管理将是收敛的。“这一切都和后台系统到前台流程的运作有关。人们需要连网,需要按需求提供的服务,需要个人化,以及能让用户与其服务供货商互动的自我控制功能。因而我们必须提供足够人性化的前端信息系统,能让人们轻易和设备展开互动。”
未来身分识别管理的挑战
在万物联网成为主流趋势的今天,Randall指出,用户体验是一个巨大挑战,他们希望在任何地方、任何时间都能访问。另外,从幼童到老人,有许多有着特殊需求的用户需要简化他们的在线互动体验。云端解决方案能帮助做到这些目标,而服务供货商则必须确保用户的隐私,以及用户/企业数据的安全。
“随着物联网时代来临,未来会有更多设备彼此之间能够交谈,或受到远程控制,因此,我们必须有更好的安全模型,否则可能会出现冰箱受到远程控制,进而去攻击你的灯泡的事情。"FIDO Alliance总裁Michael Barrett说。然而,在这个层面上,迄今所有需要的技术仍在发展中。
Randall认为,密码和PIN可能会永远存在,但接下来可能会发生较大幅度的变化。例如生物特征识别技术可提供比密码更强大的安全性,在医疗和银行等领域被采纳的程度甚至超越传统密码。另一方面,大数据的发展概念也促进了新一代识别技术的发展,数据不仅可用来辨识用户身分,还可能用来确认用户想做什么。
AOL的Fletcher同意这个观点。他指出,整个产业正在发生转变。未来用户使用密码的方式将会全然改变。传统的密码仍将被用在一些验证流程之中,但不会是未来主流的身分验证机制。当然,要做到这些改变,仍将取决于新的身分验证技术是否足够容易让用户接受。