密碼正在跨部門取代密碼,甚至大銀行也開始採用密鑰實施。但他們是否兌現了安全、可用的無密碼身份驗證的承諾?
NAB 逐步淘汰密碼,轉而採用金鑰和生物辨識技術
澳洲國民銀行投了贊成票。該公司的一則新聞稱,「預計在未來五年內逐步淘汰網路銀行密碼,用密鑰和生物特徵識別技術。
NAB 的數位銀行服務 Ubank 已提供精選服務密鑰支援對於新客戶。針對現有客戶的推出正在進行中。
銀行代表表示,萬能鑰匙提供了密碼的安全替代方案,密碼越來越容易受到資料外洩的影響,網路釣魚這可能會導致身分盜用。
與生物辨識技術相關的萬能鑰匙可確保「客戶的可信任設備生態系統」的安全性。這意味著一旦創建了密鑰,「客戶就可以像解鎖行動裝置一樣登入 Ubank 應用程序,使用指紋或臉部辨識、PIN 碼或刷卡模式。
那麼 NAB 同意FIDO聯盟和其他金鑰倡導者認為,金鑰提供比密碼更好的安全保護。
但他們是好的?
古丁:萬能鑰匙“不能被視為可用的安全性”
至少有一位前信徒說,事實並非如此。 Ars Technica 的高級安全編輯 Dan Goodin 提出爭論與許多技術創新一樣,萬能鑰匙也成為了同樣命運的受害者:理論上很棒,但執行得很差。
「這FIDO2規範與支援密鑰的重疊的 WebAuthn 前身完全是純粹的優雅,」Goodin 寫道。而且使用率正在上升:“現在數百個網站和大約十幾個作業系統和瀏覽器都支援金鑰。”
「不幸的是,隨著瀏覽器、作業系統、密碼管理器和其他第三方產品中的支援變得無處不在,所設想的輕鬆性和簡單性已經被破壞了——以至於它們不能被認為是可用的安全性,這是我定義的一個術語作為一種安全措施,使用起來與安全性較低的替代方案」。
對於 Goodin 來說,密鑰可能比密碼更好,尤其是在企業用例中。但它們還不夠好。
部分原因在於太多的聲音發現了太多的問題,卻沒有共同努力解決這些問題。古丁引用了威廉·布朗的話,他是一名軟體工程師,專門從事驗證,他說「每個回合都會遇到障礙,引導您了解開發人員關於如何使用萬能鑰匙的想法」。
“它們都不會破壞交易,但它們加起來就很重要。”
這個問題指向了萬能鑰匙的一個基本價值問題。除非它們對大多數人來說是一回事——類似於身份驗證,就像唇膏之於潤唇膏——而不是在一個術語下聚集一堆不同的登入體驗,否則它們能成為他們的目標嗎?
考慮到跨瀏覽器、作業系統、應用程式和平台的數位生態系統的複雜性,如何才能充分協調安全登入以提供無摩擦的金字招牌無密碼認證?
若要繼續進行金鑰註冊,請使用您的 OTP 登入
Goodwin 描述了為領英Firefox 上的帳戶,導致出現提示和「非直覺」回應的兔子窩。他還指出了這樣的批評:“迄今為止,密鑰實現將用戶鎖定在他們創建憑證的平台上。”
累積起來,數位看板的障礙、彎路和混亂構成了技術和體驗上的混亂,對普通人來說,這並不比必須記住十幾個不同的密碼並根據需要重置忘記的密碼更具吸引力。
傳統的設計邏輯要求首先確定您正在解決的問題。在承諾易用性、設計技術上優雅的安全工具,然後將其打包交付時,與它要取代的東西一樣令人沮喪,轉移到密鑰可能正在摸索著使登入變得更容易而不必擔心資料被盜的基本工作。
「我仍然認為萬能鑰匙為填補密碼的許多安全缺陷並降低記住和儲存密碼的難度提供了最大的希望,」古德溫說。 「然而,就目前而言,使用萬能鑰匙的麻煩,再加上後備措施的存在所造成的安全性下降,意味著沒有人會因為堅持使用密碼而感到自己是技術恐懼者或落後者。”
“如果幸運的話,總有一天萬能鑰匙將為大眾做好準備,但那一天還沒有到來。”
