目前,使用ID和密码的验证方法不仅未能发挥其应有的作用,而且也在阻碍着网络的发展。因此,一家非营利组织正着手“消灭”ID和密码。
每当客户PC和移动终端的画面,出现输入“用户名”、“密码”等指令,会让很多网络用户不由得全身紧张起来。对很多人来讲,记忆各种账户带有大小写阿拉伯字母和数字的密码以及PIN码(Personal Identification Number),是非常困难的事情。那么,如果出现使用指纹等固有的ID即可识别本人的验证方法,事情就会简单的多。 2013年5月上旬,在美国拉斯维加斯召开的“Interop”基调演讲上,美国PayPal公司(全球在线收付款解决方案领导者)首席信息安全官(CISO)和注册信息安全员(CISM)以及国际信息系统安全专家 (CISSP)Michael Barrett介绍了很多经常使用的安全系数薄弱的密码。
Michael Barrett指出,未来的网络的发展趋势是不再需要密码。对此,也许人们难以相信。Barret说:“密码不仅繁琐,而且,对用户、企业、组织以及生态系统而言并没有充分发挥其作用。”
Barrett指出,21世纪初用户必须记忆的用户名和密码总共不过是4~5个而已。但如今,平均每个用户所持有的商务及个人的账户多达25个。
为强化网络安全,部分银行和网购等网站,开始要求用户使用复杂的密码,而用户则对目前的密码验证程序越发不满。“每个用户都曾有过被账户拒绝的经历(Barrett)”。
非营利组织“线上快速身份验证联盟(Fast Identity Online Alliance,FIDO)”由PayPal和联想等公司联合成立于2012年,旨在开发标准的网站登录和在线身份验证替代品,以便减轻人们对密码的依赖程度并提高网络账户安全性。。
FIDO Alliance认为,“对用户而言,密码不仅没有有效发挥其功能,而且已经开始阻碍着网络的发展。”Barrett也是这个联盟的代表,他指出,“有时用户会选择独特的密码,但这种密码很多时候其安全系数更为薄弱,而且用户会试图重复使用这种密码。”
目前,业界迫切需要强有力的用户验证方法,但同时,这种方法不应当加重用户的负担。Barrett认为,“这种新的验证方法不仅必须是安全的,同时也应该非常便利。”
彻底消除用户名和密码
随着移动终端的日益普及,迫切需要更好的验证解决方案。专家们普遍认为,解决这一问题的方案不止一个。
目前,FIDO Alliance正致力于通过采用生物等验证技术,寻求可以替代用户名和密码的验证方法。Barrett说:“FIDO的认证方法需要将软件下载到用户终端。通过这个软件可识别终端本身,并将FIDO的协议发送到PayPal等第三方的服务器上。”
对此,Barrett做了进一步说明,“用户依据FIDO的方法访问网站,而网站会确认用户终端是否搭载可应答的FIDO客户端,这个终端可识别是否是由登陆用户所使用。”通过这种方法,用户验证不再需要麻烦的密码。
2012年,苹果公司花费巨资收购指纹感应器制造商AuthenTec,因此,媒体猜测2013年苹果将在新型智能手机搭载指纹识别器。
此外,视网膜扫描也有可能用于识别登陆用户。“目前,智能手机的前置摄像头的性能得以提升,完全可以拍到高画质的眼部照片。同时它还支持面部验证”(Barrett)
Barrett表示,无论提供何种验证技术的方法,FIDO Alliance计划在数年内,将用户名、密码以及PIN完全从地球上予以消除。同时,他说:“预计2014年将会出现支持FIDO的终端。”