首页 > IT资讯 > 正文

Google向密码宣战 - google戒指

人们每一天都要使用各种不同的用户名和密码,登陆各自不同的账号。不过,稍等一下,用户名和密码真的足以保护你的安全么?来自Google的专家为你解读下一代基于设备的安全认证方式——植入了YubiKey加密卡的Google戒指,以及当下Google的两步认证系统。

USB_token1

Google正在试点一个新的计划以了解基于USB的YubiKey登陆设备是否能帮助他们解决密码安全的困境。

Mountain View, 加利福尼亚——你想让登陆Gmail邮箱变得更加容易么?只需戴上戒指然后在电脑上轻轻一敲听上去怎么样?

这也许能比你想象的要更快发生。Google的安全团队在将于本月晚些时候发表于IEEE安全与保密杂志上的一篇科研文章中描绘了这样一种基于手指上的戒指的认证方式。文章中,Google负责安全事务的副总裁Eric Grosse和工程师Mayank Upadhyay简要地介绍了人们未来登陆网站的各种方式,而这一切在他们看来仅仅只是一个时间问题。

2012年已然成为了密码神话破灭的一年。在这一年里,互联网上的每一个人似乎都收到了一些垃圾邮件或是绝望的“求援”——也就是那些所谓的“在伦敦遭遇抢劫”的骗局。这些邮件都是从那些被黑客攻击了的人的账号中发送出来的,而我们连线杂志自己的记者Mat Honan也向所有人展示了黑客的攻击是何等地具有毁灭性。

那些在去年八月攻击了Honan的黑客们删掉了他的Gmail账号。他们盗用了他的Twitter账号并且发布一些带有种族主义的信息。此外,他们还远程攻击了他的iPhone, iPad和笔记本电脑,删掉了他近一年的邮件和图片。总而言之,这些黑客们将Honan全部的数字生活一概抹去了。

密码是一种给予互联网的使用者们以身份认证的简单而廉价的方式。但是,对于今天的互联网而言,它并不是一个足够安全的方式,而且在未来,它也永远不会变得足够安全。

“密码和简单的像cookies那样的无记名令牌已经不再足以保护用户的安全了。”                                        ——Eric Grosse和Mayank Upadhyay

Google也同意这样的观点。“就像互联网行业中的很多其他公司一样,我们感觉到了密码和简单的无记名令牌,比如cookies,已经不再足以保证用户的安全”。Groose和Upadhyay在他们的文章中这样写道。

于是,他们尝试了一些新的方式以取代密码,这其中包括了一种很小的名为YubiKey的加密卡——把这个加密卡插入USB接口后,用户可以自动地登陆到他们的Google账号中。为了使得这些加密卡能用,用户需要修改Google浏览器中的一些设置,不过他们不需要下载任何软件,而且浏览器被设置成为支持加密卡后使用十分方便:你只需打开网站页面,将加密卡插入USB接口,然后只需轻轻一点鼠标便成功登陆了。

他们预见,在未来,你只需要认证你的某一个设备——比如你的智能手机或者类似YubiKey的任意一个东西,然后你就可以像使用汽车钥匙那样使用这个设备来为你的网络邮箱和账号“点火”了。

而在更远一些的将来,他们希望事情能变得更加容易,比如说通过无线技术将你的认证设备连接到电脑。

“我们希望能够通过简单的敲击电脑实现智能手机或是嵌入了智能卡的戒指对一台新的电脑的认证,即使是在你的手机没有信号的情况下”,这些Google的雇员们如是写道。

Groose认为,未来我们也许并不能完全排除密码,但至少我们肯定不再需要那些复杂难记的密码了。“我们仍然需要一些为屏幕解锁的方式,也许是密码也许是别的什么,不过主要的认证方式将会是一个类似于此的令牌或是等价的某些硬件”。

这意味着如果有人偷了你的加密卡或是你的智能戒指,你最好立即向有关部门报失。

Grosse和Upadhyay相信一旦足够多的网站开始支持这样的基于设备的登陆技术,除去一些极端情况,比如说对个人的账号做一些重大的改变,人们将不再需要那些强密码。

不过Google要想推动这项“解放密码”的计划,他们首先需要其他网站也加入到他们的阵营之中。“其他公司也尝试过类似的技术但是在客户中并没有得到太多好的反响”,他们写道。“尽管我们意识到在我们证明新的技术能被大范围接受以前,我们的初衷看上去有一些可疑,但我们仍然十分渴望与其他网站一道测试这项技术。”

因此,他们开发了一套尚未命名的基于设备的认证协议,而且这项协议是独立于Google的。除去支持登陆标准的网页浏览器外,这项协议并不需要任何特别的软件,而这也防止了使用这项技术的网站对于用户的跟踪。

关于这项Google的新技术的一个好消息是它终于摆脱了一种非常常见的、连现在Google自己的移动电话认证系统都无法避免的攻击方式:钓鱼。

两年以前,Google引入了一项两步认证登陆系统,这个系统使得犯罪分子更加难以侵入到你的账号之中。在这个系统中,每当用户尝试从一台新的电脑登陆他们的账号,Google通常都会通过短信给用户发送一个认证码。

问题在于,如果犯罪分子们能够使你相信你在访问Gmail尽管你事实上并没有,那么他们就可能诱导你输入你的认证码。实际上,这些犯罪分子甚至可以将这个两步认证过程的漏洞嫁祸给其他无辜的用户。有的时候,他们会将他们自己的电话号码加入的账号中以“拖延账号真正的主人发现蹊跷的时间”,文中提到。

那么你又能怎么办呢?好吧,你还是在用着这套两步认证系统。它并非完美,不过它好过单纯的密码。

好消息是人们真的在用它——为此我们大概要感谢Mat Honan。 Honan的遭遇促使了很多人通过将Gmail账号绑定到他们的手机来保护信息的安全。

“Mat在连线上发表文章的两天之内,二十五万人加入了我们的两步认证”,Grosse说道。他没法明确地说通常一天会有多少人登记加入,不过他表示“比这可要少太多了”。

每个人都需要使用用户名和密码来登陆像Gmail一样的由Google提供的服务,但是有了Google的两步认证,当你从一台不常用的电脑登陆时,你将在手机上收到一个六位认证码,只有当你输入了这个认证码后,你才能登陆。

Honan说如果当初他在Gmail中使用了两步认证的话,整个这件事情大概也不会变得这么严重。不过在发送垃圾邮件的人和诈骗的人收手之前,我们仍然需要那枚Google戒指。


上一篇:Twitter私有化其数据,或成科研挡路石
下一篇:订票助手开发者感言:用自己的方式来让世界公平一点

PythonTab微信公众号:

Python技术交流互助群 ( 请勿加多个群 ):

群1: 87464755

群2: 333646237

群3: 318130924

群4: 385100854