账户安全的未来:一个没有密码的世界

未来,我们可能需要通过扩展的生物识别技术,包括行为、位置和其他信息,让机器相信我们就是我们所说的那个人。

密码 (Passwords)

短密码 (Passcodes)

密钥 (Passphrases)

没有密码

双因素

三因素

生物识别技术

人脸 (把头撞向电话…)

来证明你是你,以及你的存在…

…到那时,我估计大多数人都会产生把设备扔掉的冲动,进而回归他们的记事本或便利贴,并翻出多年前的旧密码,这些密码仍然能够帮助他们看到一切,让我们面对现实吧,它们可能是 root / calvin,root / toor,admin / letmein,或者是其他类似于这些的东西。

我们都是按习惯行事的生物。我们追求简单易用,因为我们时刻都被应用程序、系统、电话、汽车、冰箱、甚至是烤面包机包围,它们会在我们得到任何有意义的服务或热华夫饼前要求我们确定自己的身份。

问题就出在这里:很久以前,有人在某个地方的主机上(可能在另一个星系)决定我们需要将每个人与他们唯一的一个帐户相关联,然后通过只有那个人才能使用或记住的密码,对其进行保护,尽管他们并不知道。

不久前刚刚去世的 Fernando Corbato 指出的:密码和千年虫 (Y2K, Year 2000 Problem) 问题在本质上其实差不多,只是暂时密码还没有带来直接的后果,但是我们一直和这个问题共存。可笑的是,我们有一个世界密码日(5月的第一个星期四),在这一天,我们实际上是在庆祝我们无法解决自上世纪 60 年代以来一直存在的痛苦之源!密码之于我们,就像普通感冒之于医疗保健。

挑战在于平衡。我们需要或者想要安全,但是同时,我们又想要隐私,这是有争议的。我们还需要可用性,正如我们为了生活更简单,不断购买那些华而不实的东西一样。不幸的是,这三股力量作用于各种选择,在密码战场上争夺优势,目前还没有人能想出真正让各方都满意的办法。请记住,我们的受众是从美国国家安全局 (NSA) /摩萨德 (Mossad) 想要保护他们系统的人,到我的母亲和她为了送货上门登录的 Tesco 账户。无论我们想出什么办法,都必须针对整个用户群。

无密码解决方案领域已经取得了一些进展,其中一些解决方案在独特管理凭证并能够在多平台进行无缝切换方面做得非常好。其他解决方案则通过现有的凭证技术,把它们隐藏在更具协作性、更直观、更易于管理的前端之后,建立一个真正有用的保险库,将众多技术结合在一起。但是,最终,他们所做的是帮助我们处理好 1960 年代良好表面下的混乱:一组分配给我们的(或者由我们自己分配给我们,或者供我们使用的)凭证,仍然是访问解决方案的一部分。只是现在,我们不仅有一台主机,还有 1001 个应用程序、系统、网站、程序、ERP 系统等等,它们都吵着要搞清楚我们是谁,我们是否应该被允许进入。

那么,我们该怎么办呢?我们的选择是什么?5-10 年后我们会在哪里?我们还会把 “Summer2019!” 设置为默认的公司密码吗?还是我们最终会把 60 年代搁置一边,继续前进?

短期内,我们必须让机器相信我们是我们所说的那个人,所以让我们把生物识别技术扩展到包括行为、位置和其他信息,这些信息让我们在外部世界成为我们自己。

从长远来看,以 “我们” 的概念和我们的外表为例,开始审视我们的存在、我们的经历、我们的生活和我们的记忆。我说的是直接从我们两耳间的灰质中获取神经信息,证明我们知道位置,银行,账户,办公室,银行卡,如果对此很清楚,我们会认为设备本身知道 “我们”。因此,我们的存在和互动成为了关键。本质上,我们不必证明自己是谁——我们只需要做我们自己。

这能解决我们每天共同面对的所有密码问题吗?可能不会,但至少应该能根除 123456 或加 789 的更复杂版本密码。

上一篇:无需密码读取加密 PDF 文件内容

下一篇:在硬件中植入间谍芯片如此简单 成本只有 200 美元