倾销的密码可以提高您的安全——真的

编者按:在承认世界密码日,CNET复制我们的故事的选择改进和更换密码。

密码吸。

他们很难记住,黑客利用他们的弱点和修复通常把自己的问题。Dashlane LastPass 1密码和其他密码管理器产生强烈而独特的密码为每一个账户,但软件是复杂的。服务谷歌、Facebook和苹果允许你使用你的密码的服务在其他网站,但你必须给他们更多的在线控制你的生活。双因素身份验证,这就需要第二个密码通过短信发送或从一个特殊的检索应用程序每次登录,增加安全显著但仍然可以被打败。

一个巨大的变化,然而,可以完全消除密码。的技术,称为狗,改革的登录过程,结合你的电话;脸和指纹识别;和新产品叫做硬件安全密钥。如果它提供承诺,狗发现密码“123456”文物的一个逝去的年代。

“密码是你知道的。一个设备是你。生物识别技术是你,”斯蒂芬·考克斯说,首席安全架构师SecureAuth。“我们搬到你必须和你的东西。”

本周,CNET看看变化会帮助我们摆脱密码问题。这种变化是一个巨大的努力,会影响你每次你查收邮件、转账或登录到你的雇主的网络。我们看身份验证方法,无需密码,两因素身份验证的缺陷,密码管理的好处。我们提供了一些更新password-picking建议更深,因为密码改进需要几年的时间到达。最后,我的同事斯科特·斯坦股票一个发人警醒的故事密码管理器可以怎么了。

阅读更多:2020年最佳密码经理

密码是可怕的

电脑密码一直紧张至少在1960年代。麻省理工学院的研究人员艾伦·谢尔,搜出了其他研究人员的密码,这样他就可以使用自己的账户继续他的“盗窃的机器时间”为自己的项目。在1980年代,加州大学伯克利分校的天体物理学家Clifford本性,追踪一个德国在政府和军方电脑黑客离开不安全,因为管理员没有更改默认密码。

密码提示我们懒惰的本性。长,复杂的密码,那些是最安全的,是我们创建的最严重,记得和类型。我们中的许多人默认为回收它们。

这是一个巨大的问题,因为黑客已经有很多我们的密码。的我被玩弄了服务包括5.55亿个密码公开数据泄露。黑客自动化攻击“凭证馅”,在一长串的用户名和密码被盗找到的工作。

狗修复

快速在线身份这些问题,更好的被称为狗,地址。规范使用的硬件设备,如安全密钥,进行身份验证。Yubico、谷歌、微软贝宝,nokia Nok实验室等,正在开发狗。

安全密钥数字等价物的房子的钥匙。你把它们放进一个USB或闪电端口,允许一个单一的数字安全与许多网站和应用程序安全工作的关键。可以用生物认证像燕尾的关键苹果的面对ID或Windows你好。一些钥匙可以使用无线网络。

狗还允许站点和服务完全替换密码,这一变化甚至让你登录的生活更容易,因为它使黑客更加困难。

球迷有足够的信心对它的传播作出大胆的预测。“在未来的五年里,每个主要的消费者互联网服务将有一个无密码的选择,”说安德鲁Shikiar狗联盟的执行董事,一个产业联盟。“那些将使用的大部分狗。”

因为它只能与合法网站,狗停止钓鱼类型的安全攻击,黑客使用欺骗性的电子邮件和一个虚假的网站骗你放弃你的登录信息。狗还可以缓解公司灾难性的数据泄露的担忧,尤其是敏感的客户信息,如帐户凭据。黑客窃取密码不会足够使用登录,如果狗流行起来,公司可能不需要密码。

签约,没有密码

这是一个没有密码FIDO-based登录的工作方式。你会与你的笔记本电脑,访问一个网站登录页面输入您的用户名,输入你的安全钥匙,点击一个按钮,然后使用笔记本电脑的生物认证,像苹果的触摸ID或Windows你好。

方便,你也可以使用你的手机作为一个安全的关键。输入你的用户名,提示在你的手机,打开它,然后通过自己的生物认证系统。如果你使用你的笔记本电脑,电话沟通蓝牙。

菲多支持多因素身份验证提供的保护,这需要你证明你的登录凭证至少有两方面。

狗的身份验证是如何工作的

你第一次接触狗可能不会看起来比两因素身份验证不同。你首先输入传统密码,然后插入或无线连接狗硬件安全的关键。

这个过程仍然使用密码,但它是比单独的密码或密码安全码通过短信发送或检索支持身份验证器谷歌身份验证。这种方法——密码+安全的关键,是如何使用狗今天在谷歌,Dropbox, Facebook、Twitter和微软像Outlook.com和服务最终的窗户。

“硬件安全密钥非常,非常安全,”迪亚快活的说,身份验证服务公司的首席产品官Okta。这就是为什么竞选国会议员,加拿大政府的计算服务部门和所有的谷歌员工使用它们。

今天消费服务通常需要你插入的钥匙只有在首次登录新电脑或手机,或者当你特别敏感的行动像把钱从你的银行账户或改变你的密码。当然,安全关键是一件很麻烦的事情如果你没有现成的,当你需要它。

今天的安全密钥出售包括Yubico的Yubikeys和谷歌的泰坦。基本模型成本20美元,但是你要花40美元,如果你想要的支持USB-C或闪电港口或无线通信。先进的模型Ensurity的ThinC,eWBM的Goldengate G320和飞天的BioPass内置指纹读者,Yubico正在一个特征。

你至少应该买两把钥匙,以防你输了,打破或忘记你的主要关键。与大多数服务,您可以注册多个键,所以你可以把一个在家里或在一个保险箱。

手机可以安全密钥

谷歌建立狗关键技术直接进入Android在2019年,与它做了同样的事情iPhone软件1月。让你的笔记本电脑登录你的谷歌账户的提示出现在你的手机,只要你的笔记本电脑的蓝牙范围内。希望这种方法超出谷歌。

网站和浏览器功能叫做狗的身份验证WebAuthn。狗是内置Android所以应用程序可以使用它,苹果只是加入了狗联盟,这预示着狗的支持iPhone应用程序。

微软是一个主要的支持者。它超越了谷歌通过启用没密码登录为前景,办公室,Skype, Xbox Live和其他在线服务。你需要一个硬件键结合Windows你好人脸识别技术或指纹身份证;硬件键结合销代码;或手机运行微软认证器的应用。

狗防范网络钓鱼

菲多使用公钥加密技术保护信用卡号码在线几十年了。这种方法的一大优势是,狗安全装置——硬件安全关键或电话作为一个,不会使用伪造网站,黑客在网络钓鱼密码设定的一个常见的陷阱。与人不同的是,他们经常没有注意到一个精心制作的虚假网站,安全密钥注册工作只有一个合法的网站。

“安全密钥,而不是用户需要验证的网站,该网站已经证明自己的关键,”优秀的标志,一个领导者的身份验证在谷歌工作,在一篇博客文章中写道。在谷歌成功的网络钓鱼降至零后将其成千上万的员工安全密钥。

没有密码也意味着减少黑客窃取敏感数据。这是音乐的耳朵管理员。狗,SecureAuth考克斯说,公司不再有“集中式的数据库凭证被偷。”

这次的问题

这是坏消息。这并不容易搬到我们无密码的未来。我们都使用密码,我们或多或少地适应它们是如何工作的。我们都有自己的技巧让他们排序。

设置安全密钥是比选择一个密码。使用不同的程序很复杂,因为不同的网站注册,并使用安全密钥。例如,Twitter可以只使用一个硬件安全关键的今天,这意味着备份钥匙不能工作。

登记,注册的过程安全关键与服务——“是一个可怕的问题,”Jerrod Chong说,解决方案总监Yubico, a12岁的公司这使得安全密钥和狗是一个重要的球员联盟。不过,他预计招生来改善。(事实上,使用安全密钥变得平滑我一直这样做。)

用账户的数量你有钥匙的数量你有,,你会得到一个你所面对的密钥管理麻烦。硬件安全密钥可以打破或被偷,蓝牙键能耗尽电池。

“大多数人都熟悉的密码。这是他们一起成长。这是印在他们,”说Forrester安全分析师追逐坎宁安。“从消费者层面,我们可能五至七年内从死亡密码成为现实。”

公司内部、硬件安全密钥不会是一项容易的任务。员工丢失或忘记他们,他们花钱,或许最重要的是,他们只是不同于人们使用。见鬼,大多数人甚至不支持双重认证,尽管这将大大提高他们的安全。

“用户名和密码仍然是最普遍的选择,”马蒂亚斯Woloski说,首席技术官兼联合创始人Auth0销售认证服务。“没人想射击不提供这种选择。”

使安全密钥

不过,重要的是要权衡的问题与那些我们已经面对安全密钥的密码。

硬件安全密钥阻挠密码启用的大规模网络犯罪。忘记密码重置机制是昂贵的,可以利用account-stealing黑客。让我们面对现实吧——这是一个实际不可能记住强,独特的密码你使用的网站。

FIDO-powered安全密钥和手机然后无密码登录将从根本上改善虚弱的安全,说乔钻石,Okta产品副总裁。“很明显未来。”

CNET特约撰稿人阿尔弗雷德·Ng对此报道亦有贡献。