2013年1月22日 星期二

密碼時代宣告終結,Google新加密技術Yubico推動安全升級


密碼時代宣告終結,Google新加密技術Yubico推動安全升級



過往,網路世界只需帳號密碼作為防護足以堪用,今日隨著雲端科技普及,人們開始把重要資訊如財務資料、文件、數據等一股腦往雲端送,眼看密碼時代即將畫下句點,Google新法寶Yubico也應運而生。

Wired記者杭南(Mat Honan)去年8月Gmail信箱遭駭客入侵,Twitter帳號被張貼種族歧視言論,駭客遠端控制刪除他在iPhone、iPad和筆電上整整花了一年時間儲存的電郵和照片等資料,這起資安悲劇讓人感受到密碼的脆弱,也催生新的加密技術。

Google在本月出刊的「IEEE安全和隱私科技雜誌」(IEEE Security and Privacy)中發表論文,表示傳統密碼過於脆弱易遭破解,未來加密技術將走向實體化,將認證資料嵌入到戒指或其他硬體裝置,輕觸感應或插入裝置即可安全不費力地存取資料。

Google安全部門副總葛羅瑟(Eric Grosse)與工程師烏帕德希雅(Mayank Upadhyay)在研究中表示,許多產業體認密碼或存在用戶端的辨識數據cookies已不再安全,因此不斷試驗多種可以取代目前技術的加密方式,加密卡Yubico就是其中之一。

用戶只需把此小型USB插入裝置就能讓瀏覽器自動登入Google,目前研發團隊已修改Google Chrome讓用戶方便使用,只要插入、註冊就可以用滑鼠輕鬆點擊操作。

未來,智慧型手機用戶的Yubico加密卡經過認證,即可作為線上帳戶或信箱的鑰匙,甚至還可能以無線技術簡化「上鎖」及「解鎖」手續,即使手機沒有通訊也只需要輕觸裝置便可驗證。不過,實體化就意味者有失竊風險,萬一丟失必須立即掛失停用。

此項技術普及面臨的第一項挑戰是需有足夠的網站對應,Google表示希望能與其他網站合作,並已經開發出獨立於Google的裝置認證協定,不需任何特定軟體就可執行,還可防止網站用認證技術追蹤使用者。

在技術普及前,用戶可先倚賴現有的TFA技術,也就是雙重認證方式,除帳號和密碼認證外,再透過第二種方式來驗證身分,可用指紋等生物特徵,或是經由撥打手機和傳送簡訊等方式,現在台灣有許多網站業者用此種方式確認客戶身分,雖然這種技術仍有不完美之處,但比只設密碼來得安全。

面臨密碼時代終結不必過於驚慌,只要善用現有的TFA技術,搭配其他安全措施,保持警戒不輕信來路不明網站,最後,耐心等待實體化認證技術問世吧!

轉載自《WIRED》