去密码技术暨“去密码化”调研

2018/01/08 13:29

在科技迅速发展的今天,密码应用的场景多种多样,然而部分场景中密码的应用逐步呈现出被弱化、被替代、被取消的发展态势。本文尝试使用“5WlH”的六何分析方法,阐述替代口令的技术发展和“ “去密码化” ”技术进展的情况。本文所称的“密码”指“口令”,在日常工作生活的各类场景中经常被用到。

一、What:什么是密码?

口令密码主要指在系统和网站登录、线上、线下支付等场景下用于验证用户身份的信息,网络空间的产生和普及,让口令密码的应用场景、使用频率、所发挥的作用都得到前所未有的发展。

密码本质作用是解决身份认证的问题。身份认证的方法可以分为三种:第一种,What you know,基于你所知道的信息来证明你的身份;第二种,What you have,基于你所拥有的东西来证明你的身份;第三种,Who you are,基于独一无二的身体特征来证明你的身份。这三种方式均可用于身份认证,普遍使用的密码属于what you know这一类。在一些特定场景下,为达到更高的认证强度,会从上述三种方法中挑选组合两种同时使用,即所谓的双因素认证(也有称作“多因素认证”)。例如,《网上银行系统信息安全通用规范》中明确规定了在做动账交易时,要求使用双因素认证。

二、Why:为什么要去密码?

应用时间最长、最广泛的密码为若干位数字、字母或字符的组合,这类密码在早期人与计算机交互渠道有限的情况下,充分发挥了键盘、鼠标是主要的人机交互设备的特点,并且有利于计算机的数字化信息转换、处理,因此得到了广泛普及。但是,随着移动互联网的发展和安全形势的恶化,传统密码的弱点逐渐凸显,主要体现在便捷性和安全性两方面。

在便捷性方面:首先,随着智能设备和移动网络的普及,人机交互方式发生了较大改变,用户常常需要在手机、平板电脑等移动终端上触摸输入密码,随着指纹、麦克风、触摸屏等传感器技术的发展,更好的人机交互和触模转换能力让更为便捷的认证方式具备了替代密码的可能。其次,互联网业务和应用场景越来越多,每个网络用户都需要拥有多个账户,需要记忆的密码过多,常常面临很大的困扰。

在安全性方面。同样是因为各类终端的计算能力的提升、云存储和大数据的实践深入,使传统的密码使用模式面临越来越严峻的安全挑战。首先,当前互联网上大规模个人信息泄露事件频发,大量用户密码面临“拖库”的泄露风险,密码泄露就意味着网络身份被盗取,可能导致更多的直接或间接损失,而很多用户为方便记忆所设置的密码相同或相似,使得黑客更容易进行大举破坏。其次,部分黑客还会利用社工的方式获取密码,如通过密保问题找回密码,通过诈骗、钓鱼方式获取用户密码,进而掌握用户网络身份实施深入破坏。再次,随着计算能力的提升,一些网站或应用程序存在被“撞库”或密码被破解的风险,这也增加了用户密码泄露的风险。

实际上密码的设置往往是便捷性和安全性的折中。因为需要记忆的密码众多,所以越来越多的人会不经意间使用了弱密码,很容易被破解,据美国一家专业密码研究机构称,在对海量互联网密码所进行的统计中发现TOP25的常用密码占了全部密码的72%,且“password”这类弱密码已经成了全球通用的弱密码。为了解决弱密码设置问题,很多互联网网站或应用对密码强度提出了不同的额外要求,有的要求同时包括大小写字母和数字,有的要求只能是6位数字,有的要求每3个月更换并且不能与前n个相同。这些措施对安全度的提升作用有限,却很大程度限制了便捷性。

传统密码的身份认证方式已逐渐落伍,一些新技术在日趋成熟。传感器技术的发展产生了手势密码这种更便捷、更适合触摸屏的认证方式,通信和网络技术的发展出现了短信密码等无需记忆的认证方式,随着大数据和终端运算能力的提升,生物识别技术也开始应用于移动终端上。“密码将死”甚至“密码已死”的口号被提出,去密码技术符合科技发展趋势,将成为新的研究热点。

三、How:如何才能替代密码?

去密码技术在探索中逐渐发展。目前业界提出的“去密码”指的是取消传统静态密码,提升用户使用产品时的便捷性和安全性。“去密码化”最理想的状态是做到用户无感知,简化用户进行身份认证的操作,直至有一天,用户压根可以不需要记住数字字母密码,用户本人就是密码。

当前互联网应用逐渐向综合化方向发展,例如,手机百度既可以作为搜索引擎,又可以进入团购,还集成了钱包功能。“去密码化”首先需要明确的是什么时候需要认证,什么时候不需要。从便捷性和安全性两方面出发,应用大多采取了类似的策略,即在涉及资金等敏感信息时需要输入密码,在其他情况下不需要。例如,微信作为社交软件时可以直接使用,但发红包、转账时则需进行认证。“去密码化”需解决的另一个问题是在需要认证时采用何种认证方式,下面从三个类别介绍可以替代密码的在用或即将兴起的认证技术。

1.What you know类

What you know,基于你所知道的信息来证明你的身份。除了传统密码,另一被广泛应用的形式是手势密码。手势密码是因为触摸屏的发展而出现并流行的,通过在屏幕上九个点上绘制图案来解锁设备或应用。一般使用传统密码在服务器端认证通过后方可设置手势密码,此后在同一设备登录仅需绘制图形即可解锁。手势解锁能快速启用、容易记忆,比起文字输入的解锁方式便捷性更高。手势密码的应用也十分广泛,包括部分银行应用、支付宝和微信的钱包功能均设置了手势密码功能。一般来说手势密码存储在本地,服务器侧认证仍使用数字字母密码。手势密码存储在服务器端技术上可行,也有应用采用这种方案,但因只有九个点的组合,密码强度上相对传统密码其实有所降低,所以目前手势密码大多仅作为本地解锁方式。

2.What you have类

What you have,基于你所拥有的东西来证明你的身份。在互联网上通常通过存放在电脑里的软证书、存放在USB key里的硬证书和动态口令令牌三大类产品来认证用户身份。由于软证书可导出复制到其他电脑上使用,因而存在较高安全隐患,银行等渐渐不再使用软证书做认证。后两者因安全性很高,常在认证强度较高的场景下用来做身份认证,但也存在成本高、携带不便的缺点。目前大多银行都推出了USB key和动态口令令牌用于网上支付等业务。

网银业务中也广泛使用的动态口令卡运用了OTP(One Time Password)技术,虽然最后使用的是动态变化的口令,但本质上因为是在用户掌握物理介质的前提下才能认证,所以算作what you have分类下的一个变种。另一个此类实践就是手机短信密码。短信密码是以短信形式发送的6位数字密码,相当于认证用户拥有的手机。相对于传统密码,短信密码的优势在于一次一密且有使用时间限制,无需记忆也不会因被黑客窃听后重用。但短信密码可能存在短信因恶意软件或运营商特色业务等而泄露的可能性。短信密码也已被广泛应用在登录、支付环节,金融领域包括支付宝、微信等第三方支付和银行快捷支付等都采用了短信密码。

3.Who you are类

Who you are,基于独一无二的身体特征来证明你的身份。生物识别基于人体的独特唯一性、不可变性,例如眼睛、声音或脸等,对用户身份进行辨识,是理想的实现“去密码化”的技术。随着传感器和大数据技术发展,生物识别所需的信息采集器越来越小,成本也在逐渐降低,识别精确度也越来越高。2011年IBM曾预言生物识别将在未来五年取代密码。五年期限已至,虽然生物识别尚未完全取代密码,但是以苹果公司Touch ID为代表的技术已将指纹识别推广到了日常生活中。生物识别技术的应用,不仅可以极大提升互联网安全性,亦拥有更高的便捷性。

生物识别具体包括很多技术。在金融领域,指纹识别成熟度最高、应用最广泛。苹果、三星、华为的部分手机均已配备了指纹识别功能,应用于设备解锁。同时,指纹识别功能逐渐向上层应用开放,上层应用认证用户身份时调用相应模块即可。目前,支付宝、微信等应用均支持指纹支付,苹果的Apple Pay、三星的SamSung Pay、谷歌的Android Pay也在大力推广中。据了解,最新指纹识别技术识别错误率在十万分之一左右,识别速度在0.3秒内。

人脸识别是应用较多的另一技术,据悉,最新人脸识别技术精确度也已超过了99%。Facebook开发的DeepFace、国内的Face++等都已是较为成熟的产品。目前Android智能手机中有不少支持人脸识别开机解锁的机型,支付宝、QQ、网易邮箱等应用也纷纷开始采用人脸识别登录。与指纹识别相比,人脸识别的优势在于无需专门设备,仅需摄像头即可采集信息,但劣势在于准确率相对较低。

其他类型的生物识别技术也在研究和使用中,例如虹膜识别(采集眼睛中的虹膜结构)、眼纹识别(眼白的纹理结构)、掌纹识别、声纹识别、心跳模式识别、甚至根据用户行为进行识别,如击键识别等等,新型技术方案层出不穷,但在金融领域应用较少。其中,虹膜识别的错误率达到了一亿分之一,相比指纹识别更加安全,已有部分厂商开始研发支持虹膜认证的手机。

生物识别认证技术大大提升了身份认证的安全性和便捷性,但也有其局限性。首先,需要在考虑成本和技术平衡的情况下,尽量提升识别的准确率和处理速率。以金融领域为例,由于对错误率的容忍度较低,若要广泛应用需达到非常高的精确度且能达到一定性能压力下的处理速率。其次,随着这类技术的广泛使用,仿冒生物识别技术的攻击也已经出现,例如,指纹可用凝胶复制或从手指接触的表面采集,人脸识别可通过高清照片绕过,需要通过技术解决生物识别仿冒的问题。再次,存在产业碎片化的问题。一种安全可靠的认证方式需要整个产业链从认证器厂商到手机制造商、上层应用等各个环节的协同配合。所以目前虽然部分品牌手机针对部分应用提供了某种特定的生物识别方式,但很难实现同步升级为全体用户提供更安全便捷的认证服务。最后,需防止用户隐私被不当使用的风险。因生物识别采集的信息均属于用户的隐私,这些信息若对应用完全公开,存在被泄露或被不法商家留存的风险。而目前关于生物特征隐私保护的法律法规尚不够完善。因此,目前用户信息多存储在本地,上层应用仅能从底层得到一个是否认证通过的标志,这意味着生物识别仅应用于本地验证,与手势密码角色相当。例如,开启了支付宝人脸识别登录,那么仅有当前账户在当前设备可使用人脸识别,无论是当前账户在其它设备、或是其他账户在当前设备登录,仍需要使用传统密码认证。

4.三种技术对比

相对于传统密码,各类技术优缺点对比如表1。

新知图谱, 去密码技术暨“去密码化”调研 表1 各类密码技术的优缺点对比

四、“去密码化”业界实践

目前,有很多技术型企业或组织正在提出、实践、推动“去密码化”的实践,此处收集列举几家典型的情况。

1.苹果公司AppIe Pay(静态密码/生物指纹认证登录和支付)

2014年10月20日,苹果公司的“苹果支付(ApplePay)”服务首次在美国上线。2016年2月18日,ApplePay服务在中国上线。苹果公司通过Apple ID实现用户账号的识别,通过Apple ID密码和生物指纹识别实现Apple Pay的身份认证,利用iPhone手机的NFC技术完成近场支付。

使用Apple Pay支付时,不需要手机接入互联网,也不需要点击进入APP,甚至无须唤醒显示屏,只要将iPhone靠近读卡器,利用HOME键上的指纹识别,即可完成身份认证和最终支付。Apple Pay支付时的“免密免签”功能与实体卡的设置相关,如Apple Pay绑定的银行卡要求输密,则Apple Pay支付也需要输密。

2.谷歌公司Project Abacus(免密/静态密码/生物识别认证)

谷歌公司在2016年5月的Google I/O开发者大会上,对外介绍了谷歌生物识别技术项目Project Abacus。谷歌拟依靠人工智能、大数据技术、生物识别等前沿技术,摆脱单一认证模式,实现混合认证,以达到“去密码化”的目的。项目将对外提供的开源Trust API认证接口,不仅支持脸孔辨别、声纹辨识、打字和浏览手势等生物辨识外,还支持所在位置、所使用wifi等非生物识别方式。首先,谷歌通过在后台对用户的习惯进行长期监测,形成大量与用户身份相关的“监测记录”。其次,利用大数据、人工智能等技术对监测记录进行分析,分析参考的依据包括信息输入模式、行走模式以及地理位置等信息。最后,建立一套安全信任机制,在登录、支付等关键操作时,动态计算“信任积分"(Trust Score)。如果“信任积分”足够高,那么不需要密码直接解锁,实现“免密”目标。如果“信任积分"不够高,那么用户仍然需要输入认证信息,但可以根据“信任积分"的高低区别使用不同的认证方式。

3.支付宝公司(静态密码/手势密码认证登录,静态密码/免密认证支付)

在认证登录方面,支付宝软件主要采用静态密码、手势密码进行身份认证。

在认证支付方面,支付宝公司从2007年开始研发并运行大数据风控防控体系“安全大脑”,如图1所示,基于位置、设备、行为等信息,判断某笔支付是否需要认证、需要何种认证,在安全情况下,能够实现“免密支付”。

新知图谱, 去密码技术暨“去密码化”调研

4.雅虎公司Yahoo Account Key服务(仅用“拥有什么”认证登录)

雅虎公司曾在邮箱应用中推出过一种无密码方式登录帐户的Yahoo Account Key服务,以提高账户的安全性和便捷性。该服务的具体流程如下:

用户在首次注册使用雅虎邮箱时,选择Yahoo Account Key服务,只需留下捆绑手机号,无需预留密码。之后再登录雅虎邮件时,也仅需输入账号,不需要输入密码。而是Yahoo Account Key服务向与该账号捆绑的智能手机发送一条消息。此时,用户可以通过选择“Yes”或“No”以允许或拒绝登录。如果智能手机丢失或被盗,用户还可以通过发送电子邮件或手机短信来验证自己的身份。

此服务意味着用户不再需要记住复杂的密码,仅依靠随身携带的手机即可登录应用,使用更加便捷。同时,雅虎认为该服务比传统静态密码更加安全,因为一旦它被激活,即使黑客能够获取到帐户信息,但无法获取到绑定手机,也无法登录账户。

5.FIDO(在线快速身份认证联盟)

在线快速身份认证联盟(Fast Identity Online,FIDO)是致力于推动首个革命性在线安全认证技术标准规范的行业协会,成员包括Google、PayPal、Lenovo、Visa、MasterCard、微软和RSA等252家公司参与。FIDO的目标是创建一组新的协议,支持对web应用持续的、安全的、无需密码的访问。FIDO目前建立了UAF和U2F两个协议规范,如图2所示。

新知图谱, 去密码技术暨“去密码化”调研

UAF协议规范(Universal Authenti ation Frameworkprotocol Specifications),支持指纹、语音、虹膜扫描等生物测定身份识别技术。无需用户密码(Passwordless)介入,直接进行验证交易。用户在注册阶段,根据服务器支持的本地验证方式,选择一种验证方式,如:指纹识别,人脸识别,语音识别,等等,服务器也可保留密码验证方式,将密码和生物识别相结合,增强账户安全性。

U2F协议规范(Universal Second Factor(U2F)protocol Specifications),支持PIN和USB Key或者支持NFC的手机。U2F类似国内的二代U盾的保护机制,使用双因子(密码及可与用户交互的设备)保护用户账户和隐私。用户在注册阶段,使用服务器支持的加密设备,将账户和设备绑定。当用户进行登录验证操作时,服务器在合适的时候,提示用户插入设备并进行按键操作,加密设备对数据签名,发送给服务器,服务器做验证,如果验证成功,用户则可登录成功。由于有了第二因子(加密设备)的保护,用户可以选择不设置密码或者使用一串简单易记的4位密码。

国内联想创投集团旗下的国民认证子公司将FIDO标准引入中国。该公司于2016年4月成立,向国内互联网服务商、金融机构、硬件制造商、生物认证技术商提供从客户端到服务端身份认证解决方案,可扩展到任意应用、任意设备和任意认证方式,统一进行身份验证,如图3所示。

新知图谱, 去密码技术暨“去密码化”调研

当前生物识别、大数据分析等新技术逐渐成熟,“去密码化”在技术上成为可能,业界也在不断尝试。近年应用了多项what you know和what you haVe类别的技术,例如手机应用支持手势密码登录、使用短信密码支付、使用U盾和电子密码器认证等。

在终端环境、业务功能和用户习惯越发呈现多样化的趋势下,单一的认证模式很难满足实际应用的需求。坚持适度安全控制、便捷安全服务的身份认证技术仍然是一条需要持之以恒的技术选择。在当前实践环境下,各机构仍需坚持以新技术与传统密码结合的方式为客户提供安全、便捷的服务,并加快特定场景下的去密码技术应用,提升客户体验。

(文章来源:中国金融电脑杂志)

+ 关注

更多新知

知识库

已收录新知