一直以来,密码都是维护计算机安全的核心技术和黄金标准。
密码算法和协议作为解决人、机、物的身份标识,身份鉴别,统一管理,信任传递和行为审计问题,是实现安全可信、可控的互联互通的核心技术手段。
也正因如此,针对密码的网络攻击从未止息,甚至呈现愈演愈烈之势。
2020年1月1日正式实施的《中华人民共和国密码法》将密码分为核心密码、普通密码和商用密码。其中商用密码用于保护不属于国家秘密的信息。本文讨论的密码主要指商用密码。
随着新技术新应用的迅速发展,密码作为网络安全基石,在相关技术、标准、应用等方面也得到了快速发展。
近期,中国软件评测中心、中国计算机行业协会数据安全专业委员会编制并发布《商用密码应用安全性评估白皮书(2021年)》(以下简称《白皮书》)。
《白皮书》指出,近年来我国密码算法设计分析能力达到国际先进水平,我国自主设计的ZUC序列密码、SM2公钥密码、SM3杂凑密码、SM4对称密码、SM9标识密码等商用密码算法已成为国际标准,这些标准覆盖了密码算法、产品、技术、检测、应用等多个方面,我国密码标准体系正日益完善。
在产业侧,《2020—2021中国商用密码产业发展报告》显示,2020年我国商用密码产业规模突破466亿元,同比增速超33%。
在行业应用方面,密码技术和产品已广泛应用在通信、金融、教育、医疗健康、交通、能源、国防工业等领域。
例如,在物联网应用场景中,传统身份认证方式许多都是采用普通的口令认证,密钥强度低,安全隐患突出。
目前许多专业安全厂商提供基于商用密码的物联网安全解决方案,覆盖云管端三个层面,实现密钥安全分发、身份认证、数据加密/签名等安全服务。
商用密码在物联网领域的应用视图(来源:中国软件评测中心网络空间安全测评工程技术中心)
电信和互联网行业历来是数字化进程的先驱,商用密码在护航行业数字化发展,保障用户数据安全过程中发挥着重要作用。
例如,中国电信提出“商密云”,采用商密云存储系统的“云+端”架构,实现商用密码技术和云存储技术的融合。
此外,商用密码在云平台运维系统中也发挥了重要作用,诸如在某运营商机房之间通过专线连接,VPN专线采用用户名+PIN+Ukey方式进行身份鉴别,系统登录采用账号ID+PIN码+Ukey方式,通过发送随机数字进行校验等,全方位保障数据安全。
商用密码在电信和互联网领域的应用视图(来源:中国软件评测中心网络空间安全测工程技术中心)
尽管密码技术、产品、标准等发展迅速,相关行业需求也十分强烈,但密码的发展在许多方面仍旧面临诸多问题。
《白皮书》指出,目前我国商用密码应用领域不够广泛,应用方式还不够规范,应用服务尚不够安全,应用需求难以契合等。
而从全球来看,来自密码的安全问题不容乐观。
微软的一组数据表明,几乎80%的网络攻击都是针对密码的,每天有250个企业账户会遭到黑客攻击。
Verizon 2021年数据泄露调查报告中的一项统计数据显示,61%的安全攻击事件可归因于凭据被盗。
身份认证领域的密码安全问题始终都是整体安全防护中的薄弱环节。
不仅如此,还有更加令人忧心的事实:My1Login的一项研究表明,虽然有人们都知道什么是强密码,但53%的员工却并不总是使用强密码,并且85%的员工在接受安全培训后仍会在各个业务应用中重复使用密码。
也就是说,网络安全培训很多时候在提高员工保护企业数据意识方面并没有达到预期效果。
因此,探寻其他有效的密码管理方式和身份验证手段,成为企业维护网络安全的当务之急。
密码管理带来的成本也是一个不可忽视的重要因素。有调查数据显示,全球员工平均每年花费11个小时输入或重置密码。
对于平均拥有15000名员工的公司,这直接导致生产力损失520万美元。
因此,不仅是安全问题,改善用户体验也成为越来越多的人开始尝试新的验证方式的理由。近年来出现了许多新兴技术和新应用方式,正成为代替传统密码技术的新突破点。
无密码(passwordless)技术作为一种新兴的安全技术和身份认证手段,正成为许多企业和安全厂商研究的重点。
此外,量子密码作为以量子力学和密码学相结合的新兴技术,正成为密码新技术的一个重要研究分支。目前业界的研究主要集中在协议设计与分析、密钥分发、身份认证、秘密共享、安全直接通信等方面。
无密码身份验证通常包括面部生物识别、硬件密钥、动态二维码认证、行为分析认证和零知识证明等技术。
面部生物识别(人脸识别)在当下已得到广泛应用,并在许多场景下取得不错的体验。
虽然面部生物识别在识别准确性与抗攻击等方面仍存在不足,但随着技术的提升,该项技术在发展前景上非常值得期待。
硬件密钥或基于硬件的一次性密码(OTP)形式多样,可以置于小型USB、NFC或蓝牙设备,也可以内置在用户手机中,在本地物理设备上实现对用户登录的身份验证。
动态二维码认证也可用于身份验证,用户通过扫描绑定到用户身份的二维码,触发生物识别扫描来确认身份。
行为分析认证通过某些独特因素诸如鼠标移动、打字习惯、登录历史记录等,并配合其他验证手段来确认用户身份。零知识证明(ZKP)身份认证是将密码转换为复杂且唯一的抽象字符串,通过相匹配的随机序列来证明客户端与服务器上的相应的数据集相同。
此外,还有企业尝试利用由深度神经网络驱动的声纹算法,实现特殊的语音认证解决方案,以解决用户身份验证与欺诈问题。
在国外,Ping Identity、RSA、Okta、微软和Duo等公司都已为客户提供了自己的无密码平台,例如微软的用户可以使用AzureActive Directory 以及微软民用服务进行无密码登录。
Ping Identity为用户提供一种多步骤的无密码方式,它通过将身份验证手段相集中,并将基于风险的MFA和FIDO登录密钥用作不同级别的验证。
当前无密码技术尚处于不断摸索和完善过程中,许多方面也存在一些争议,但业界很多人对此保持乐观。
Ping Identity公司的创始人兼CEO Andre Durand预测,在未来三到四年内,无密码安全将成为常态,但只有在不牺牲安全性的情况下方能消除对它的争议。
诚然,企业过渡到无密码解决方案需要一定的成本与投入,不过从某些程度上来说也是值得的。
无密码技术不仅可以减少企业的攻击面,增强终端用户安全性,同时也促进了多因素身份认证的采用以及遏制网络经济犯罪。但总体上讲,无密码技术的普及尚需时日。
密码是既古老又新颖的一项安全技术,步入智能时代,密码技术不会随着新安全技术的发展而消失,密码安全也并非单纯追求密码“有无”的问题,如今它依旧不可或缺,并将通过新的方式换发新生机,最终完成在解决安全问题的同时能为用户带来良好体验的使命。
本文来自微信公众号“科技云报道”(ID:ITCloud-BD),作者:科技云报道,36氪经授权发布。