无论你喜欢与否,你的大多数在线账户都将密码替换为一种更安全的凭证,叫做通行密钥。在网络安全领域,密码常常被称为“共享秘密”。密码的工作原理(在初始注册过程和后续登录尝试中):你必须首先将它们分享给所有你使用的应用程序和网站(统称为“依赖方”)。不幸的是,像密码这样的共享秘密被证明是互联网中最脆弱的部分之一。
尽管有很多相反的建议,我们人类仍然以依赖高度不安全和缺乏创意的密码而臭名昭著,并且我们还经常被欺骗与黑客分享这些密码,黑客依赖操控性的社会工程技术,如网络钓鱼和短信钓鱼,来欺骗我们分享密码。
经过数十年的妥协、数据泄露和因密码管理不当造成的经济损失,你可能会认为我们早该学会了。然而,即使在全面的网络安全培训之后,研究 显示98%的用户仍然容易被欺骗,泄露他们的密码给威胁行为者。
意识到希望——希望用户有一天能改善他们的密码管理习惯——是一种无效的策略,无法减轻共享秘密带来的负面后果,科技行业联合起来发明了一种新的登录凭证。通行密钥不涉及共享秘密,也不需要最终用户的自律或创造力。不幸的是,通行密钥的实施并不像密码那样简单,这也是为什么仍然需要大量的教育。
通行密钥背后的主要理念
通行密钥背后的三个主要理念是:
- 通行密钥无法被猜测(就像密码可以——而且通常会被猜测)。
- 同一个通行密钥不能在不同的网站和应用程序之间重复使用(就像密码可以)。
- 您不会被欺骗而泄露通行密钥给恶意行为者(就像密码可以)。
通行密钥仍然涉及一个秘密。但与密码不同,用户无法分享它——不仅不能与合法的服务方分享,尤其不能与威胁行为者分享。相反,通行密钥依赖于一种标准的公钥/私钥加密工作流程,用户只需证明自己拥有这个秘密,而无需分享它。要了解通行密钥在幕后工作原理的更多信息,请参见 ZDNET关于通行密钥工作原理的六部分系列。
“通行密钥”这个词实际上是一个符合FIDO2标准的凭证的昵称。FIDO2标准由多供应商的FIDO联盟管理,实际上是两个其他标准的结合:万维网联盟(W3)的WebAuthn规范和FIDO联盟的客户端到身份验证器协议(CTAP)。CTAP标准中的“身份验证器”是这个四部分系列的主题。
根据W3的WebAuthn标准规定,有三种类型的身份验证器:平台、虚拟和漫游。除了您的浏览器、操作系统和您正在登录的依赖方外,身份验证器对任何基于通行密钥的工作流程至关重要。虽然身份验证器通常作为密码管理器的一个组成部分提供,但有时也会作为一个单独的组件打包。
尽管相对少数的服务方——如苹果、谷歌、微软、PayPal和Kayak——正在支持通行密钥作为一种登录凭证,但无法预测需要多长时间才能让大量网站和应用程序进行转变。
然而,随着越来越多的依赖方进行转变,用户需要提高对通行密钥的理解,并学习如何更好地使用它们。因此,了解各种身份验证器在通行密钥使用过程中的作用(即通行密钥注册仪式或基于通行密钥的身份验证)以及在选择一个或多个身份验证器时需要考虑的因素很重要。(是的,您可以使用多个身份验证器。)
在ZDNET关于通行密钥身份验证器的四部分系列的第三部分中,我将讨论虚拟身份验证器,以及它与平台身份验证器和漫游身份验证器的区别。
‘虚拟’是指仅基于软件的方法
在大多数情况下,当用户使用通行密钥但不使用平台身份验证器时,他们很可能会使用虚拟身份验证器。这些基本上是自带身份验证器(BYO,Bring Your Own),与平台身份验证器不同,它们不依赖于设备的安全硬件来执行任何与通行密钥相关的公钥密码学或加密任务。
自带身份验证器的概念是:与其使用内置于设备中、主要由操作系统控制的身份验证器(如苹果和微软的平台身份验证器),不如安装和配置一个第三方替代品,来担任身份验证器和凭证管理器的角色。
通常被称为密码管理器(尽管它们管理的不仅仅是密码),虚拟身份验证器的市场需求得到了1Password、BitWarden、Dashlane、LastPass和NordPass等众多产品的支持。
那么谷歌的Chrome呢?正如我之前提到的,谷歌Chrome中的凭证管理和身份验证功能可以视为平台或虚拟身份验证器。我更倾向于把Chrome看作虚拟身份验证器,因为除了Android设备外,用户需要在大多数计算设备上主动安装它。
这一类别的产品在功能、价格、可配置性、支持的浏览器和操作系统,以及适合个人用户或组织的适用性上相互竞争。有些,例如,BitWarden提供免费和付费版本(后者通常功能更丰富)。
跨平台兼容性
平台身份验证器及其相关的凭证管理功能通常功能有限、可配置性差,而第三方虚拟身份验证器则提供多种用户友好的功能,更能吸引一些有特定需求的用户。
例如,虽然一些虚拟身份验证器满足企业和其他商业的独特需求,但其他身份验证器可能更适合个人用户。此外,平台身份验证器和虚拟身份验证器之间最大的区别之一在于它们支持的平台。例如,苹果的 iCloud 钥匙串支持苹果的操作系统,而微软的平台身份验证器目前更倾向于 Windows 10 及以上设备。然而,大多数虚拟身份验证器优先考虑跨平台和跨浏览器的兼容性。这就是商业的竞争性质。
这些虚拟身份验证器的供应商知道,他们不仅要与平台身份验证器的免费特性竞争(这些身份验证器内置于各种操作系统和浏览器中)。供应商还知道,他们在支持的平台和浏览器方面相互竞争。虚拟身份验证器作为各种密码管理器的重要组成部分,大多数第三方密码管理器在主要浏览器(Chrome、Edge、Firefox 和 Safari)中提供浏览器插件。此外,他们往往为每个主要桌面和移动操作系统提供本地应用程序,以及通过网络访问其功能和特性。
虚拟身份验证器与基于平台的身份验证器的另一种区别是:自托管的同步能力。就像苹果和微软利用他们的云作为凭证同步中心一样,大多数虚拟身份验证器通过自己的云提供同步能力,有些甚至允许客户替换他们自己的同步中心。这个选项对于对敏感数据存储在供应商运营的云中有不同关注程度的组织特别有用。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.