為什麼Microsoft希望您從密碼切換到生物識別?
在最近接受CNBC採訪時 ,微軟首席信息安全官(CISO)Bret Arsenault發現了一個完美的詞彙來描述最常見的網絡安全誤區之一。在談到犯罪分子用來發動攻擊的方法時,他說“ 黑客不會闖入,他們登錄 ”。
這確實是我們遇到這麼大問題的原因之一。普通用戶留下的印像是,網絡攻擊只能被一個複雜的威脅演員拉下來,這個演員既有技能又有動力利用最新的零日漏洞和破解以前從未被黑客入侵過的應用程序。人們不理解的是,黑客通常不會真正破解任何東西。他們只是使用他們的登錄憑據冒充受害者。
Table of Contents
密碼問題
上述登錄憑證及其弱點是CNBC材料的核心。為了證明他的觀點,Arsenault先生提醒我們關於NotPetya的事件 - 一場2017年的襲擊事件,使全世界成千上萬台電腦癱瘓。允許它如此快速傳播的機制使得NotPetya特別強大,雖然其中一些功能是由於一些洩露的NSA黑客工具而引起的,但專家們當時指出,大多數感染都是由於惡意軟件竊取的能力造成的。管理員密碼。 Arsenault認為,最大限度地降低NotPetya等未來攻擊風險的最佳方法是停止使用密碼。
實際上,討論傳統密碼存在缺陷是沒有意義的。我們已經觸及了這個特定的問題 ,無論如何,任何一個面臨創建新的在線帳戶或登錄到一個非常老的帳戶的人都可以證明它有多大的痛苦。然而,個人和組織繼續將他們最有價值的在線資產置於我們都知道和討厭的舊認證機制之後。根據微軟的說法,我們現在應該停止這種做法。
微軟試圖殺掉密碼(再次)
多年來,Microsoft A級管理層一直在表達對密碼的擔憂。正如你們中的一些人可能記得的那樣,早在2004年,比爾蓋茨就說密碼正在逐漸消失。顯然,他的預測並沒有真正擊中靶心,但是,信貸到期,他數十億美元的龐然大物試圖對此做些什麼。 Windows 10中的Windows Hello功能是一個特別重要的項目。
它於2015年推出,它提供了一種通過指紋或人臉識別解鎖支持的Windows設備的方法. 前幾天,微軟宣布即將推出的基於生物識別技術的認證系統版本將獲得FIDO2認證,雖然支持仍然有限,但世界上最普遍存在的操作系統的開發者正試圖證明與Windows Hello一起生活可以現實。在CNBC的採訪中,Bret Arsenault表示,微軟13.5萬名員工中有90%在沒有輸入密碼的情況下訪問公司網絡。微軟的CISO認為,這是邁向“無密碼未來”的一步。
你應該做微軟的工作嗎?
像微軟這樣的公司如果沒有一些非常聰明的人為他們工作,就不會像今天這樣。這些人說用戶應該盡可能少地依賴密碼,你一定要聽他們說。但是,您應該意識到,微軟高管所談論的“無密碼未來”仍然是一個非常遙遠的概念。
實際上,生物識別認證機制正變得越來越普遍, 尤其是在移動設備上 。也就是說,專家們繼續發現其中的安全漏洞,這意味著並非所有人都願意完全接受它們。更重要的是,現在可以通過生物識別技術解鎖您的智能手機或計算機,您仍然很可能被迫使用傳統密碼通過瀏覽器登錄您的網上銀行和電子郵件帳戶。
換句話說,儘管樂觀主義來自微軟的高層,但你仍然或多或少地依賴密碼。更重要的是,沒有人知道這可能會發生什麼變化,這意味著您應該考慮改進您對待登錄憑據的方式。 堅實的密碼管理解決方案應該是一個良好的開端。