谷歌正在消除你的密码,安全专家大喜| ENBLE
谷歌推出新技术消除密码,安全专家欢欣鼓舞 | ENBLE
谷歌正逐步让密码变得过时。解决方案被称为”Passkeys”,它是一种在手机或电脑本地存储的独特密码形式,就像物理安全密钥的工作方式一样。Passkeys在身份验证层后面受到保护,该层可以是您的指纹或面部扫描,或者只是屏幕上的图案或PIN码。
Passkeys更快,链接跨平台,并为您保存了记忆网站或服务的密码的麻烦。人为错误的范围更小,且双因素身份验证代码拦截的风险也降低了。
与微软和苹果合作开发的谷歌现在正在采取下一步,通过将passkeys作为默认登录选项来普及。您不必放弃您通常的登录方法,但是如果您还没有启用passkeys,下次使用谷歌账号进行登录请求时,系统将为您提供提示。
为什么passkeys比密码更好
Passkeys采用了您可以称之为数字握手的方法,涉及使用加密方法创建一对密码。一个存储在应用程序或网络服务中,另一个由用户保留,由设备上的密码或生物识别身份验证保护。没有涉及两因素代码,您只需要在设备上点击提示来进行身份验证。
曾在联邦调查局担任安全专家,目前在SpyCloud负责安全研究的Trevor Hilligos告诉ENBLE,passkeys本质上是“强大的,这也是许多安全团队选择这种防御模式的原因。”这里最大的优势是它们不像普通的字母数字密码那样容易出现在数据泄露中。这是一个多重问题,因为惊人的多数字公民会在不同服务中重复使用相同的密码或可预测修改过的密码。
- “80美元的耳机不应该听起来这么好,现在在亚马逊上还有33%的折扣”
- 你的Pixel Buds Pro刚刚得到了一次重大更新以下是新的改进之处
- 通过Prime Day优惠,只需低于$200就可以买到这款Apple Watch | ENBLE
Passkeys更快(根据谷歌的说法,最高可提高40%),更安全,更方便。但是Hilligoss警告称,它们并不是数字安全的完美解决方案。他说:“网络犯罪分子正在迅速适应这种技术,他们的焦点从窃取账号凭据转向账号恢复方法,开发窃取passkeys和发起会话劫持等攻击策略。”
Passkeys很好,但并不完美
Hilligoss指出一种称为会话劫持(也称为cookie劫持)的技术,黑客试图控制您的在线浏览会话以窃取敏感数据。基本上,坏分子们欺骗一个网站,让它认为它是一个合法用户。当一个人访问一个网站时,通常会创建一个会话ID,这个ID经常保持活动状态几天。
这个会话数据以数字和字母的形式存储在临时会话cookie中,并保持在浏览器中,直到用户退出登录。黑客可以通过在网页中注入脚本、拦截网络流量、欺骗性地在受害者设备上安装恶意软件,或者简单地使用模式预测来窃取会话ID。
Hilligoss补充说:“一旦攻击者劫持了一个网络会话,他们可以做任何原始用户能做的事情,包括购买商品、窃取机密个人信息或访问银行账户。”在这种攻击中,不管是使用传统密码还是passkeys允许的登录都没有关系。
这一切对您意味着什么
通行密钥与Google密码管理器相关联,而苹果则将iCloud Keychain引入了图片中,这意味着通行密钥也会在各个设备之间同步。默认情况下,Google还会自动为新激活的Android设备创建通行密钥。然而,随着我们抛弃密码,黑客也在不断应用更复杂的技术。
通行密钥也无法阻止其他形式的网络攻击,比如各种形式的恶意软件部署、冒充银行官员进行电话诈骗(你好,生成式AI地狱)、社会工程学攻击等等。通行密钥只解决了安全漏洞的一方面,但并不是万能的解决方案。
数字素养在未来的几年中仍然至关重要,因为第三方服务逐渐采用通行密钥。Hulligoss建议采用基于应用的两步验证,定期更改密码,仔细检查接收到的URL和链接,并对来自未知号码的电话保持警惕。
“正确的网络卫生习惯和对在线账户的可见性将在与网络犯罪分子抗争的道路上起到很大作用。”他总结道。
