你的密碼還安全嗎?探究密碼發(fā)展的“冰火兩重天”

科技云報道原創(chuàng)。

一直以來,密碼都是維護計算機安全的核心技術(shù)和黃金標準。

密碼算法和協(xié)議作為解決人、機、物的身份標識,身份鑒別,統(tǒng)一管理,信任傳遞和行為審計問題,是實現(xiàn)安全可信、可控的互聯(lián)互通的核心技術(shù)手段。也正因如此,針對密碼的網(wǎng)絡(luò)攻擊從未止息,甚至呈現(xiàn)愈演愈烈之勢。

2020年1月1日正式實施的《中華人民共和國密碼法》將密碼分為核心密碼、普通密碼和商用密碼。其中商用密碼用于保護不屬于國家秘密的信息。本文討論的密碼主要指商用密碼。

密碼發(fā)展的“冰火兩重天”

隨著新技術(shù)新應用的迅速發(fā)展,密碼作為網(wǎng)絡(luò)安全基石,在相關(guān)技術(shù)、標準、應用等方面也得到了快速發(fā)展。

近期,中國軟件評測中心、中國計算機行業(yè)協(xié)會數(shù)據(jù)安全專業(yè)委員會編制并發(fā)布《商用密碼應用安全性評估白皮書(2021年)》(以下簡稱《白皮書》)。 《白皮書》指出,近年來我國密碼算法設(shè)計分析能力達到國際先進水平,我國自主設(shè)計的ZUC序列密碼、SM2公鑰密碼、SM3雜湊密碼、SM4對稱密碼、SM9標識密碼等商用密碼算法已成為國際標準,這些標準覆蓋了密碼算法、產(chǎn)品、技術(shù)、檢測、應用等多個方面,我國密碼標準體系正日益完善。

在產(chǎn)業(yè)側(cè),《2020—2021中國商用密碼產(chǎn)業(yè)發(fā)展報告》顯示,2020年我國商用密碼產(chǎn)業(yè)規(guī)模突破466億元,同比增速超33%。

在行業(yè)應用方面,密碼技術(shù)和產(chǎn)品已廣泛應用在通信、金融、教育、醫(yī)療健康、交通、能源、國防工業(yè)等領(lǐng)域。

例如,在物聯(lián)網(wǎng)應用場景中,傳統(tǒng)身份認證方式許多都是采用普通的口令認證,密鑰強度低,安全隱患突出。

目前許多專業(yè)安全廠商提供基于商用密碼的物聯(lián)網(wǎng)安全解決方案,覆蓋云管端三個層面,實現(xiàn)密鑰安全分發(fā)、身份認證、數(shù)據(jù)加密/簽名等安全服務(wù)。

商用密碼在物聯(lián)網(wǎng)領(lǐng)域的應用視圖

(來源:中國軟件評測中心網(wǎng)絡(luò)空間安全測評工程技術(shù)中心)

電信和互聯(lián)網(wǎng)行業(yè)歷來是數(shù)字化進程的先驅(qū),商用密碼在護航行業(yè)數(shù)字化發(fā)展,保障用戶數(shù)據(jù)安全過程中發(fā)揮著重要作用。例如,中國電信提出“商密云”,采用商密云存儲系統(tǒng)的“云+端”架構(gòu),實現(xiàn)商用密碼技術(shù)和云存儲技術(shù)的融合。

此外,商用密碼在云平臺運維系統(tǒng)中也發(fā)揮了重要作用,諸如在某運營商機房之間通過專線連接,VPN專線采用用戶名+PIN+Ukey方式進行身份鑒別,系統(tǒng)登錄采用賬號ID+PIN碼+Ukey方式,通過發(fā)送隨機數(shù)字進行校驗等,全方位保障數(shù)據(jù)安全。

商用密碼在電信和互聯(lián)網(wǎng)領(lǐng)域的應用視圖

(來源:中國軟件評測中心網(wǎng)絡(luò)空間安全測評工程技術(shù)中心)

盡管密碼技術(shù)、產(chǎn)品、標準等發(fā)展迅速,相關(guān)行業(yè)需求也十分強烈,但密碼的發(fā)展在許多方面仍舊面臨諸多問題?!栋灼分赋?,目前我國商用密碼應用領(lǐng)域不夠廣泛,應用方式還不夠規(guī)范,應用服務(wù)尚不夠安全,應用需求難以契合等。

而從全球來看,來自密碼的安全問題不容樂觀。

微軟的一組數(shù)據(jù)表明,幾乎80%的網(wǎng)絡(luò)攻擊都是針對密碼的,每天有250個企業(yè)賬戶會遭到黑客攻擊。Verizon 2021年數(shù)據(jù)泄露調(diào)查報告中的一項統(tǒng)計數(shù)據(jù)顯示,61%的安全攻擊事件可歸因于憑據(jù)被盜。

身份認證領(lǐng)域的密碼安全問題始終都是整體安全防護中的薄弱環(huán)節(jié)。

不僅如此,還有更加令人憂心的事實:My1Login的一項研究表明,雖然有人們都知道什么是強密碼,但53%的員工卻并不總是使用強密碼,并且85%的員工在接受安全培訓后仍會在各個業(yè)務(wù)應用中重復使用密碼。

也就是說,網(wǎng)絡(luò)安全培訓很多時候在提高員工保護企業(yè)數(shù)據(jù)意識方面并沒有達到預期效果。因此,探尋其他有效的密碼管理方式和身份驗證手段,成為企業(yè)維護網(wǎng)絡(luò)安全的當務(wù)之急。

探尋身份認證新賽道,無密碼將成新希望?

密碼管理帶來的成本也是一個不可忽視的重要因素。有調(diào)查數(shù)據(jù)顯示,全球員工平均每年花費11個小時輸入或重置密碼。

對于平均擁有15000名員工的公司,這直接導致生產(chǎn)力損失520萬美元。因此,不僅是安全問題,改善用戶體驗也成為越來越多的人開始嘗試新的驗證方式的理由。近年來出現(xiàn)了許多新興技術(shù)和新應用方式,正成為代替?zhèn)鹘y(tǒng)密碼技術(shù)的新突破點。

無密碼(passwordless)技術(shù)作為一種新興的安全技術(shù)和身份認證手段,正成為許多企業(yè)和安全廠商研究的重點。

此外,量子密碼作為以量子力學和密碼學相結(jié)合的新興技術(shù),正成為密碼新技術(shù)的一個重要研究分支。目前業(yè)界的研究主要集中在協(xié)議設(shè)計與分析、密鑰分發(fā)、身份認證、秘密共享、安全直接通信等方面。

無密碼身份驗證通常包括面部生物識別、硬件密鑰、動態(tài)二維碼認證、行為分析認證和零知識證明等技術(shù)。

面部生物識別(人臉識別)在當下已得到廣泛應用,并在許多場景下取得不錯的體驗。雖然面部生物識別在識別準確性與抗攻擊等方面仍存在不足,但隨著技術(shù)的提升,該項技術(shù)在發(fā)展前景上非常值得期待。

硬件密鑰或基于硬件的一次性密碼(OTP)形式多樣,可以置于小型USB、NFC或藍牙設(shè)備,也可以內(nèi)置在用戶手機中,在本地物理設(shè)備上實現(xiàn)對用戶登錄的身份驗證。

動態(tài)二維碼認證也可用于身份驗證,用戶通過掃描綁定到用戶身份的二維碼,觸發(fā)生物識別掃描來確認身份。

行為分析認證通過某些獨特因素諸如鼠標移動、打字習慣、登錄歷史記錄等,并配合其他驗證手段來確認用戶身份。零知識證明(ZKP)身份認證是將密碼轉(zhuǎn)換為復雜且唯一的抽象字符串,通過相匹配的隨機序列來證明客戶端與服務(wù)器上的相應的數(shù)據(jù)集相同。

此外,還有企業(yè)嘗試利用由深度神經(jīng)網(wǎng)絡(luò)驅(qū)動的聲紋算法,實現(xiàn)特殊的語音認證解決方案,以解決用戶身份驗證與欺詐問題。

在國外,Ping Identity、RSA、Okta、微軟和Duo等公司都已為客戶提供了自己的無密碼平臺,例如微軟的用戶可以使用AzureActive Directory 以及微軟民用服務(wù)進行無密碼登錄。 Ping Identity為用戶提供一種多步驟的無密碼方式,它通過將身份驗證手段相集中,并將基于風險的MFA和FIDO登錄密鑰用作不同級別的驗證。

當前無密碼技術(shù)尚處于不斷摸索和完善過程中,許多方面也存在一些爭議,但業(yè)界很多人對此保持樂觀。Ping Identity公司的創(chuàng)始人兼CEO Andre Durand預測,在未來三到四年內(nèi),無密碼安全將成為常態(tài),但只有在不犧牲安全性的情況下方能消除對它的爭議。

誠然,企業(yè)過渡到無密碼解決方案需要一定的成本與投入,不過從某些程度上來說也是值得的。無密碼技術(shù)不僅可以減少企業(yè)的攻擊面,增強終端用戶安全性,同時也促進了多因素身份認證的采用以及遏制網(wǎng)絡(luò)經(jīng)濟犯罪。但總體上講,無密碼技術(shù)的普及尚需時日。

密碼是既古老又新穎的一項安全技術(shù),步入智能時代,密碼技術(shù)不會隨著新安全技術(shù)的發(fā)展而消失,密碼安全也并非單純追求密碼“有無”的問題,如今它依舊不可或缺,并將通過新的方式換發(fā)新生機,最終完成在解決安全問題的同時能為用戶帶來良好體驗的使命。

極客網(wǎng)企業(yè)會員

免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2021-09-18
你的密碼還安全嗎?探究密碼發(fā)展的“冰火兩重天”
你的密碼還安全嗎?探究密碼發(fā)展的“冰火兩重天”

長按掃碼 閱讀全文