摘要:你肯定有过这样的经历,不管登陆哪个网站,都需要输入各种用户名和密码。除了密码容易忘以外,现在移动设备越来越普及,在小小的屏幕上输入用户名和密码也更麻烦了。事实上,即便是那些人气超高的网站也经常会收到用户关于登陆的各种问题反馈。 如今,有关海量数据泄露的新闻层出不穷,但面对如此不祥的现况,相对于安全,...

你肯定有过这样的经历,不管登陆哪个网站,都需要输入各种用户名和密码。除了密码容易忘以外,现在移动设备越来越普及,在小小的屏幕上输入用户名和密码也更麻烦了。事实上,即便是那些人气超高的网站也经常会收到用户关于登陆的各种问题反馈。

无密码时代真的来了?-速客网

如今,有关海量数据泄露的新闻层出不穷,但面对如此不祥的现况,相对于安全,多数人依然更看重密码的方便性。这就是为什么年复一年,全球最常用的登录密码依然是“123456”,这个密码组合是如此明显,以至于在登录管理服务商Keeper Security分析的1000万个泄露密码中,它自己就占了17%。

抛弃密码?

当然,解决问题的方法就是彻底抛弃密码。生物识别技术(尤其是指纹扫描)已经在稳步取代键入密码的需求——密码会被黑客的机智算法轻易攻破。如今,随着世界一步步接受了诸如Amazon Echo和Google Home等语音激活设备,企业也开始研发能够识别个人语音模式的技术。面部识别也开始流行起来。

无密码时代真的来了?-速客网

Google Home是是谷歌发布的内置扬声器的语音激活设备,可以通过语音控制家庭设备

我们的愿景就是彻底消灭密码,”雅虎公司的产品管理副总裁迪伦·凯西表示,这家公司也遭遇过重大安全攻击问题。

“未来,当我们回顾眼前这个时代,我们会嘲笑自己居然有过这样的密码要求。不但要10个字符,还得包括大小写字母、一个数字以及特殊字符;就像今天的孩子一定会嘲笑当年听音乐还要买CD一样。”

问题在于,企业能否说服用户切换至生物识别的登录方式,以及这些新技术能否证明它们比老式密码更经受得住黑客的攻击。

从2015年3月起,雅虎邮箱的用户已经可以不再牢记自己的密码了。用户可通过手机短信接收一个一次性的随机密码。

这一举措,离雅虎之前采用单一的短信验证码取代传统密码已经有七个月了,雅虎也表示,这是迈向“无密码时代”的第一步。

此前,雅虎是旨在引入一个第二认证因子以及为了解决忘记密码和多个账户设置同一密码等问题。

据雅虎产品副总裁Dylan Casey所述,密码本身是很难记住的,而二次登录验证从使用上也是不方便和容易造成混乱的。我们目前通过使用推送通知的方式,使用户通过手机移动终端就可以安全的、便捷的访问雅虎的账户,使得雅虎账户登录上向着“无密码时代”跨出了一大步。

同年10月,雅虎进一步拓展了这一应用,以更好地发挥智能手机的优势:用户无需键入一组密码,只需在收到服务方发来的询问通知时,确认是本人登录即可。由于现在的许多智能手机均配有生物识别传感器,这个方式可能比短信更安全,因为它不仅需要用户手边有一只手机,还需要用户对手机进行解锁。

此类系统之所以能大行其道,很大一部分功劳要记在苹果公司身上,苹果于4年前在iPhone中加入了指纹扫描器,随后又陆续将之加入了其MacBook产品线中,从而推动了该技术的普及。

无密码时代真的来了?-速客网

微软公司也行动了起来。4月,其Outlook.com、Xbox.com、Skype.com等基于云端的服务的约8亿用户开始可以通过在智能手机上扫描指纹的方式登入这些服务。到2017年的10月或11月,微软公司身份识别部门的产品负责人亚历克斯·西蒙斯表示:

“你可以拿起手机,走向你的Windows 10个人电脑,然后按一下拇指指纹,即可登入电脑。”

一向重视安全的银行业已经采纳了其中一些最尖端的技术。早在2014年,英国的巴克莱银行就开始允许高净值客户在使用电话银行服务时,用语音确认他们的身份,2016年,这一方式也成了该行普通客户们的选择。

巴克莱银行在英国、印度和菲律宾的客服中心的负责人西蒙·希帕尔干表示,“我们的声音识别技术是要采集一段录音,然后分析不同的声音模式、语调、音高以及语速。”他也透漏,该行正将此技术整合在银行的手机应用程序之中。汇丰银行(HSBC)、花旗集团(Citi)及西班牙国际银行(Santander)也都开始允许顾客使用声音登入他们的电话银行账户。

面部识别也在日益普及开来。莱斯银行2017年4月宣布将会试用微软的Windows Hello技术,用户可通过将面部对准电脑的网络摄像头,登入他们的网络账户。联合服务汽车协会以及另一家来自英国的原子银行也在智能手机应用上推出了相同的服务。

无密码时代真的来了?-速客网

新技术的隐患

这些新技术一定能将黑客挡在门外吗?巴克莱的希帕尔干对该行的语音激活登录系统胸有成竹,他说迄今为止还没出现过被入侵的情况。“我们非常有信心,这个系统就像你的指纹一样独一无二,”他说。“因此,不论是有人模仿,还是播放录音,系统都能识别出来。”

但市场调研机构ABI Research的数字安全调研总监米凯拉·门汀则没有这么确定。她说:

“通过人工智能,你可以让机器克隆人的声音,或许就能假装成另一个人。”

2017年4月,一家蒙特利尔人工智能创业公司的三名开发人员发布了他们的语音合成工具Lyrebird(琴鸟)的测试版本,他们表示,该工具只需要最短60秒的录音,即可“复制任何人的声音”。他们也公布了一些样本,分别模拟了贝拉克·奥巴马、希拉里·克林顿及唐纳德·特朗普的声音。

无密码时代真的来了?-速客网

Lyrebird的官网显示该工具可以“复制任何人的声音”

亚历山大·德·布雷比松是Lyrebird的创始人之一,目前在蒙特利尔大学学习人工智能,他说他们团队的动机是改进语音合成技术,而非任何邪恶的目的。“未来,我们相信语音人机界面会越来越普遍,我们想让它变得更好,”他说。

那么,他的软件能否骗过基于语音的身份鉴别系统呢?“我们还没在那些系统上测试过我们的技术,”他说,“但如果我们目前的技术已经能骗过它们,我们也不会感到惊讶。”

面部识别领域也存在类似的担忧。据微软透露,其Hello技术目前已适用于许多基于Windows的电脑,很快,它也将在莱斯银行、哈利法克斯银行及苏格兰银行展开测试,该技术的工作原理是利用红外线传感器打造出一幅可靠的人脸画面。微软表示,在镜头前放一张照片不可能蒙混过关。

无密码时代真的来了?-速客网

三星盖乐世S8拥有面部识别功能

但2017年3月,有报道指出,同样的招数却能骗过三星电子有限公司的新品盖乐世S8手机上的面部识别功能。三星在一份声明中表示,用户可选择几种不同的方式解锁手机,而面部识别只能用于解锁盖乐世S8,不能用于“打开三星支付或加密的文件夹。”

比尔·盖茨在13年前就预言了密码的终结。但这一终结迟迟没有到来,原因就是人们不愿丢下他们的老习惯,再加上他们并不总能负担得起最新的技术。

为了避免对用户的疏离,银行方面没有坚持切换至更安全的技术,而是将之作为其中的一个选择。因此,尽管更便宜的生物识别传感器和更智能的软件已经帮助改进了网络安全,但门汀认为,密码仍会再存活50年——这有点类似于固定电话的情形。

“直到我们能在人体内植入设备,作为密码使用。”她说,“否则短期内,我看不出它们会在身份鉴别的战争中败下阵来。”这也是黑客们所希望的。

Via 上游新闻 综合 商业周刊中文版、腾讯科技、36氪

历史上的今天:

  1. 2016:  印度最高法院认为微软、谷歌和雅虎违反性别鉴定法(0)
  2. 2016:  雅虎联合创始人杨致远大手笔投资 VR 领域(0)
  3. 2016:  雅虎首位员工Tim Brady讲述公司早年创业历程:哈佛还是创业,我选了后者(0)
  4. 2015:  雅虎日本斥18亿日元投资索尼房地产业务(0)
  5. 2014:  雅虎是值得投资的网络股吗?(1)