为什么Microsoft希望您从密码切换到生物识别?
在最近接受CNBC采访时 ,微软首席信息安全官(CISO)Bret Arsenault发现了一个完美的词汇来描述最常见的网络安全误区之一。在谈到犯罪分子用来发动攻击的方法时,他说“ 黑客不会闯入,他们登录 ”。
这确实是我们遇到这么大问题的原因之一。普通用户留下的印象是,网络攻击只能被一个复杂的威胁演员拉下来,这个演员既有技能又有动力利用最新的零日漏洞和破解以前从未被黑客入侵过的应用程序。人们不理解的是,黑客通常不会真正破解任何东西。他们只是使用他们的登录凭据冒充受害者。
Table of Contents
密码问题
上述登录凭证及其弱点是CNBC材料的核心。为了证明他的观点,Arsenault先生提醒我们关于NotPetya的事件 - 一场2017年的袭击事件,使全世界成千上万台电脑瘫痪。允许它如此快速传播的机制使得NotPetya特别强大,虽然其中一些功能是由于一些泄露的NSA黑客工具而引起的,但专家们当时指出,大多数感染都是由于恶意软件窃取的能力造成的。管理员密码。 Arsenault认为,最大限度地降低NotPetya等未来攻击风险的最佳方法是停止使用密码。
实际上,讨论传统密码存在缺陷是没有意义的。我们已经触及了这个特定的问题 ,无论如何,任何一个面临创建新的在线帐户或登录到一个非常老的帐户的人都可以证明它有多大的痛苦。然而,个人和组织继续将他们最有价值的在线资产置于我们都知道和讨厌的旧认证机制之后。根据微软的说法,我们现在应该停止这种做法。
微软试图杀掉密码(再次)
多年来,Microsoft A级管理层一直在表达对密码的担忧。正如你们中的一些人可能记得的那样,早在2004年,比尔盖茨就说密码正在逐渐消失。显然,他的预测并没有真正击中靶心,但是,信贷到期,他数十亿美元的庞然大物试图对此做些什么。 Windows 10中的Windows Hello功能是一个特别重要的项目。
它于2015年推出,它提供了一种通过指纹或人脸识别解锁支持的Windows设备的方法. 前几天,微软宣布即将推出的基于生物识别技术的认证系统版本将获得FIDO2认证,虽然支持仍然有限,但世界上最普遍存在的操作系统的开发者正试图证明与Windows Hello一起生活可以现实。在CNBC的采访中,Bret Arsenault表示,微软13.5万名员工中有90%在没有输入密码的情况下访问公司网络。微软的CISO认为,这是迈向“无密码未来”的一步。
你应该做微软的工作吗?
像微软这样的公司如果没有一些非常聪明的人为他们工作,就不会像今天这样。这些人说用户应该尽可能少地依赖密码,你一定要听他们说。但是,您应该意识到,微软高管所谈论的“无密码未来”仍然是一个非常遥远的概念。
实际上,生物识别认证机制正变得越来越普遍, 尤其是在移动设备上 。也就是说,专家们继续发现其中的安全漏洞,这意味着并非所有人都愿意完全接受它们。更重要的是,现在可以通过生物识别技术解锁您的智能手机或计算机,您仍然很可能被迫使用传统密码通过浏览器登录您的网上银行和电子邮件帐户。
换句话说,尽管乐观主义来自微软的高层,但你仍然或多或少地依赖密码。更重要的是,没有人知道这可能会发生什么变化,这意味着您应该考虑改进您对待登录凭据的方式。 坚实的密码管理解决方案应该是一个良好的开端。
