熊猫来客的天空分享 http://blog.sciencenet.cn/u/pandalaicko 不忮不求,何用不臧

博文

身份认证往前看

已有 4134 次阅读 2011-1-26 18:12 |个人分类:未分类|系统分类:科研笔记| 身份认证

地球人都知道,搞身份认证无非三种方法:
1. 你知道什么?
2. 你拥有什么?
3. 你是什么?

第一个,就衍生出了基于口令的登录认证方法,第二种,就出了智能卡和安全令牌。第三种,就出了生物认证。但是后两种在大规模消费电子产品应用时,总是会遇到各种的实际问题,解决起来费钱费事。于是乎,还是用户名加口令的方式最为大行其道。

但是,第一种方式,让人(特别是让我)有些深度的审美疲劳。首先,从实际应用角度讲,口令就代表了一切。所以针对口令发动攻击,就可以导致整个安全系统的根源性崩溃。虽然口令方案有着眼花缭乱的应用实践和理论算法,但是针对实际口令攻击行为的防范效果并不好。最重要的两种攻击方式,keyLogger和phishing,都是让实际应用防不胜防的黑枪。其二,为了保障口令的安全性,防止社会工程学攻击和多米诺效应,口令应该足够难记,不同的网站和应用需要有不同的口令。我勒了个去!人又不是机器,怎么可能记住网络时代上百上千种应用的不同火星文密码,这是对人类行为体验的赤裸裸挑战。

应该有更好的方法,得到更好更安全的人机交互良好的身份认证方法。毕竟,口令这个东西,其实也是在计算机时代之后才广泛应用的,是属于计算机早期,将就计算机处理的妥协产物。现在都已经用了近30年,是应该想办法变变。更何况,那么多新型交互产品(如iPad)已经没有那个可恶的键盘了。


https://blog.sciencenet.cn/blog-245487-408110.html

上一篇:宽带的未来,兼论娱乐业的未来
下一篇:The devil is in the detail
收藏 IP: 60.247.43.*| 热度|

2 罗岚 黄富强

发表评论 评论 (0 个评论)

数据加载中...

Archiver|手机版|科学网 ( 京ICP备07017567号-12 )

GMT+8, 2024-11-23 09:40

Powered by ScienceNet.cn

Copyright © 2007- 中国科学报社

返回顶部