什麼是無密碼登入?他們真的安全嗎?
密碼對您的互聯網安全至關重要。但是有這麼多的在線和離線服務,很難跟蹤你的密碼。無密碼登錄系統開始興起,取消了每次登錄服務時輸入密碼的要求。
但如果你沒有使用密碼,你如何保護你的帳戶?什麼是無密碼登錄,它們安全嗎?
什麼是無密碼登錄(a passwordless login)?
無密碼登錄是一種身份驗證系統,它使用密碼的替代方法來啟用對帳戶的訪問。例如,您收到的不是密碼,而是作為登錄令牌的電子郵件通知。或者,您可能會在智能**上收到一個彈出窗口,允許您控制對帳戶的訪問。
在這種情況下,無密碼登錄通常使用預先存在的身份驗證形式來保證您的身份。
你可能已經遇到了使用Gmail帳戶的無密碼登錄。不用每次登錄時都輸入密碼,谷歌可以直接向你的**發送提示。提示顯示登錄嘗試的時間和位置,並提供批准或拒絕登錄的選項。
無密碼登錄如何工作?
當你登錄到一個網站,你必須提供一個密碼來解鎖你的帳戶。密碼只為您和網站所知,確保您的帳戶安全。您相信該站點會保護您的密碼,安全地存儲它,並且該站點本身不會受到攻擊。
而且,您肯定已經為每個站點和服務使用了強大、唯一的密碼,因為這是最安全的做法。
然而,正是後者變得困難。為每個站點創建一個強大的一次性密碼,用戶可以創建容易記住但糟糕的密碼。而且,即使您確實創建了一個安全的密碼,每月一看數據洩露的數量也可能會破壞您的努力。
使用無密碼身份驗證,您不必使用密碼信任網站。無密碼登錄使用幾種不同的身份驗證方法,而不是每次輸入密碼。
基於電子郵件的無密碼身份驗證
目前最常見的無密碼登錄系統是通過電子郵件。許多用戶會發現基於電子郵件的無密碼登錄是最常見的系統,其工作原理類似於密碼重置。
當您嘗試登錄時,請提供電子郵件地址。該服務向與帳戶相關聯的地址發送一封安全電子郵件,並且該電子郵件包含一個安全的一次性魔術鏈接,可用於輸入您的服務帳戶。magic link包含一個唯一的登錄令牌,該令牌由服務驗證,並將其交換為一個長期驗證令牌。
電子郵件系統上還有其他變體。例如,在現有帳戶的情況下,服務可能會向用戶發送一個綁定到其帳戶詳細信息的一次性DKIM密鑰代碼。用戶接收DKIM代碼並將其輸入站點。該站點根據現有用戶詳細信息驗證代碼,並完成登錄過程。
基於短信的無密碼登錄
在本例中,用戶輸入一個有效的電話號碼。該服務會向電話號碼發送一次性代碼。然後用戶可以登錄到服務。或者,一些服務提供“機器人呼叫”用戶,其中文本到語音服務將直接讀取代碼。
然而,短信的安全性正在受到審查。我們絕大多數人沒有什麼可擔心的。但一些身價高的個人(尤其是那些擁有大量加密貨幣的個人)遭受了短信sim卡黑客攻擊。仔細看看什麼是sim卡交換攻擊,以及如何防範它。
基於生物特徵的無密碼登錄
一些無密碼登錄方法使用生物特徵掃描服務來驗證您的身份。生物認證服務比以往任何時候都在更多的設備上提供。(您應該為您的智能**切換到生物識別服務嗎?)
這個想法是,當你想訪問一個網站,一個提示出現在你的智能**上。您可以使用首選的生物識別系統解鎖智能**,解鎖功能將驗證您的身份。
然而,除了蘋果的面部識別碼(適用於iphonex、ipadpro第三代和ipodtouch第七代之後生產的設備),移動設備的生物識別掃描並不完全安全。
其他**商的人臉掃描硬件沒有那麼先進,是用照片來欺騙的,而它需要一個完整的3D打印和繪製的頭部來欺騙蘋果的人臉ID。在其他情況下,指紋掃描儀允許部分識別來解鎖設備。
目前,生物識別無密碼登錄系統可能不是最佳選擇。不過,在未來,它可能會成為最佳選擇。
物理密鑰無密碼登錄
物理安全密鑰提供了另一種無密碼登錄驗證選項。物理安全密鑰是一種特殊的USB安全密鑰。當您想訪問您的帳戶時,請將安全密鑰**計算機。在線服務通過安全密鑰驗證您的帳戶,無需密碼。
物理安全密鑰的主要例子包括Google的Titan系列和Yubico的Yubikey系列。
無密碼登錄是否類似於雙因素身份驗證?
是和否。
是的,無密碼登錄類似於雙因素身份驗證(2FA),因為您可以使用另一種身份驗證方法訪問您的帳戶。2FA的工作原理是使用兩個單獨的因素來保護您的帳戶,通常是密碼和單獨的設備。
不,這是不一樣的,因為雖然您使用一個單獨的設備來驗證您的帳戶,但它仍然只是一個單一的因素。
無密碼登錄更安全嗎?
任何阻止用戶創建糟糕密碼的方法都是好的,對吧?無密碼登錄可消除最終用戶的另一個故障點。目前,無密碼登錄並不普遍。一些主要的服務正在使用它們,比如Gmail(如上所述)和SlackMagicLinks。
對網站所有者和版主來說,最大的好處是突然不必處理用戶密碼。存儲在明文文件中的未加密密碼是噩夢的素材;對於黑客來說,它是夢想的素材。很少訪問某項服務的用戶也不必經歷“重置密碼”的繁瑣程序。
無密碼登錄還可以幫助用戶快速登錄該服務。相反,如果你經常註銷服務,必須通過電子郵件或短信重新授權可能會變得惱火,這取決於時間的長短。
現在,使用密碼管理器
無密碼登錄將需要時間成為主流。不過,情況正在好轉。大多數主流瀏覽器(除了Safari)都支持這種或那種無密碼登錄。2019年2月,谷歌還宣佈,運行Android 7(即Android Nougat)或更高版本的設備也將獲得無密碼登錄支持。
這意味著近50%的Android設備支持無密碼登錄。而FIDO2和WebAuthn等無密碼登錄標準將繼續接收更新,進一步保護身份驗證方法。
在撰寫本文時,您仍然需要密碼。您需要一個強大的一次性密碼。有鑑於此,為什麼不考慮使用密碼管理器呢?
- 發表於 2021-03-21 10:04
- 閱讀 ( 49 )
- 分類:安全
你可能感興趣的文章
如何為您的網站建立登入保護區
您已經學習瞭如何建立網站並閱讀了jQuery指南。下一步是什麼?為你的網站建立一個密碼保護區對於保證你的東西的安全是至關重要的。幸運的是,這比你想象的要容易! ...
7個聰明的密碼管理超級能力,你必須開始使用
... 你指望什麼密碼管理器功能? ...
什麼是sim卡交換?5個小貼士,以保護自己從這個騙局
... 讓我們仔細看看什麼是SIM卡交換,以及如何避免它。 ...
您可以信任microsoft的5個安全原因
...物認證系統。Hello標誌著微軟四步走戰略的第一步走向了無密碼的未來。啟用Hello後,您只需使用臉部或指紋即可登入到Windows裝置。 ...
沒有更多的洩漏?即將推出的3個令人興奮的密碼替代方案
...有挑戰性的問題。如果採用是最重要的障礙之一,那麼為什麼不使用每個人都已經擁有的裝置:他們的智慧**? ...
什麼是現金應用詐騙,如何避免賠錢?
...用它以數字方式跟蹤他們的財務狀況。但你能相信嗎?有什麼騙局需要你小心嗎? ...
什麼是同態加密?
... 但什麼是同態加密?這是什麼意思?是什麼使它不同於其他型別的加密? ...
微軟希望你在2021年放棄密碼
... 微軟在2021年推出無密碼賬戶 ...
什麼是憑證填充攻擊?
... 什麼是憑證填充(credential stuffing)? ...
科技行業想扼殺密碼。還是真的?
...。” 這是一個樂觀的看法,它遠沒有死亡的密碼。 為什麼人們想殺死密碼 早在2018年5月,在討論公司“構建一個沒有密碼的世界”的目標時,微軟的安全團隊寫道: “Nobody likes passwords. They are inconvenient, insecure, and expensive. In f...
