地球人都知道,搞身份认证无非三种方法:
1. 你知道什么?
2. 你拥有什么?
3. 你是什么?
第一个,就衍生出了基于口令的登录认证方法,第二种,就出了智能卡和安全令牌。第三种,就出了生物认证。但是后两种在大规模消费电子产品应用时,总是会遇到各种的实际问题,解决起来费钱费事。于是乎,还是用户名加口令的方式最为大行其道。
但是,第一种方式,让人(特别是让我)有些深度的审美疲劳。首先,从实际应用角度讲,口令就代表了一切。所以针对口令发动攻击,就可以导致整个安全系统的根源性崩溃。虽然口令方案有着眼花缭乱的应用实践和理论算法,但是针对实际口令攻击行为的防范效果并不好。最重要的两种攻击方式,keyLogger和phishing,都是让实际应用防不胜防的黑枪。其二,为了保障口令的安全性,防止社会工程学攻击和多米诺效应,口令应该足够难记,不同的网站和应用需要有不同的口令。我勒了个去!人又不是机器,怎么可能记住网络时代上百上千种应用的不同火星文密码,这是对人类行为体验的赤裸裸挑战。
应该有更好的方法,得到更好更安全的人机交互良好的身份认证方法。毕竟,口令这个东西,其实也是在计算机时代之后才广泛应用的,是属于计算机早期,将就计算机处理的妥协产物。现在都已经用了近30年,是应该想办法变变。更何况,那么多新型交互产品(如iPad)已经没有那个可恶的键盘了。
https://blog.sciencenet.cn/blog-245487-408110.html
上一篇:
宽带的未来,兼论娱乐业的未来下一篇:
The devil is in the detail