微软最近透过 Authenticator 服务,让微软账号直接无密码登入,许多评论认为这开启无密码时代,但所谓“无密码应用”相关技术早就存在,甚至健保快易通登入都有利用相关无密码技术。
在科技渗入生活的时代,密码成为我们不得不为的技术,无论网络银行、社群软件或电子商务,各类密码充斥生活。密码加入公钥或对称金钥等技术后,许多人认为越复杂的密码就代表越能保障安全,但密码早就没法真正保护数位资产──况且这个密码需求多样化时代。
现在托加密金钥的福,要真的“破解”密码并不容易,所以通常取得密码或账号的管道是找到程式或网站后门,甚至电脑植入木马等是最常见的破解法,换句话说,攻击者会利用各种方法诱骗你点击某些不明连结,以攻击你取得各种个资。
密码代管技术
这类技术是最常见的密码相关技术,比较直接的就像 1Password、Dashlane、Elpass 等服务:将密码储存于他们的服务,只需记住主要密码就可以,但要注意这些安全机制就是“连他们本身都找不回你的密码”,所以一旦忘记主密码就糟了,这种情况最常发生在经常使用 Touch ID 或指纹辨识开启 1Password 的人。
另一种密码代管是让 Google 或苹果平台商记住密码,并输入电脑密码、指纹辨识等协助你自动填入密码,同时这些服务还会协助你制作高强度密码,让密码不容易被猜透。但自动创造高强度密码的“技术”,现今看没有太大意义。比起会被攻击或测录知道密码的技术来说,使用特殊生物特征辨识更不容易被窥探,同时也没有忘记密码的风险。
中国行之有年使用手机认证登入取代密码登入,由于近年对手机实名制要求渐趋严格(因诈骗横行,台湾也越来越要求实名制),让简讯认证成为账号最简便的登入方式,基本上要完成简讯认证,手机就必须要在身边,所以这种登入方式在中国很流行,近年有些台湾服务也开始使用简讯登入取代传统密码登入。
采用密码外辨识的 FIDO 认证
FIDO 是 Fast Identity Online 简称,使用特定硬件或生物特征为身份验证的工具,如指纹、虹膜、经认证的特定手机应用、手机号码。简单来说,可证明你是谁的工具都能成为取代密码的“钥匙”,这就是 FIDO 联盟倡导“解决大量用户密码”的方法,同时也提供公钥加密技术。
微软与 Google 都有推出 Authenticator 服务,如果使用者首次登入某装置(有些装置或服务会因不让服务辨识装置且更换 IP,需重新登入),输入密码后,还需要输入 Authenticator 固定更换的密码才能登入。Apple ID 则把认证码放在长期登入的装置,以确认登入新装置的 Apple ID 是本人无误。
这类密码上“再加防护”,如跳过原有密码认证效果,安全性不会打折──因透过生物认证或特定公钥的认证,远比传统密码安全可靠。如果最近有领五倍券、因疫苗申请健保卡账号的人,会发现健保卡除了原本密码,还需要输入一次传送到你手机简讯的健保 OTP 验证码,就是类似加密技术,拥有这些技术就可无密码登入,这些技术之所以保留密码,主要是让使用者安心。
不过本文使用“远比……可靠”、“比较可靠”等语并不代表“绝对可靠”,这世界并不存在绝对安全的密码储存或登入模式,也没有永远不被破解的加密技术。宣称保护 8 万员工不再遭入侵的 Google Titan 硬件密钥就被白帽骇客破解──令人庆幸的是要破解这密钥难度不低。
有 90% 的 Gmail 使用者没有加入两阶段认证
目前 Google、微软等大公司都是 FIDO 联盟会员,拥有大量 Touch ID、Face ID 资料的苹果也于 2020 年初成为 FIDO 联盟一席。Google、苹果都在用自己的方法解决无密码登入问题:Android 于 2019 年加入蓝牙连接,让手机权充硬件密钥开启电脑的方法;苹果今年加入以 Apple Watch 解锁 iPhone 的功能,以解决无法使用 Face ID 解锁手机的窘境。即使联系装置密钥的蓝牙标准被批评安全系数太低,但这些公司都在想方设法解决不再安全的网络环境,想办法让使用者用更多密码。
当生物辨识精准度越高,要仿造生物辨识或错认难度就越高,这也是为什么苹果宁可保留浏海,也不放弃 Face ID 辨识技术──因透过相机镜头的脸部辨识精准度差异太大。
据统计,90% 的 Gmail 用户仍然没有开启二阶段认证──即使 Gmail 已成为许多人公私都用有的重要邮件系统,许多人还对自己的账号安全掉以轻心。换句话说,即使增加再多技术,许多人都宁愿要“方便”舍弃“安全”,这对提供服务的大公司来说才是令人头痛之处──况且过于依赖手机,就是许多人换手机时会历经痛苦的解锁到重新绑定过程。
现在主流程式大都使用两阶段认证,就用吧!与刷卡后简讯通知一样,这些小动作大部分会增加一点困扰,但让手机资料更安全。
(首图来源:pixabay)
延伸阅读:
- 苹果加入 FIDO 联盟董事会,可望扩大以受信任装置取代密码登入
- 守护 8 万员工不被骇的功臣,Google 安全密钥 Titan Security Key 上市
- 别了密码!今后不用密码也能登入微软账号、应用与服务