扔掉你的密码提高你的安全性

他们很难记住，黑客利用他们的弱点，修复往往带来他们自己的问题。 Dashlane、LastPass、1Password和其他密码管理器为您拥有的每个帐户生成强大和唯一的密码，但软件是复杂的。 来自谷歌、Face book和苹果的服务允许你在其他网站上使用密码为他们的服务，但你必须在网上给他们更多的权力。 双因素认证，它需要第二个密码发送短信或从一个特殊的应用程序检索，每次登录，大大提高了安全性，但仍然可以被击败。

然而，一个大的改变可能完全消除密码。 这项名为FIDO的技术，将手机、人脸和指纹识别以及新的硬件安全密钥结合起来，对登录过程进行了检查。 如果它兑现承诺，国际人权联合会将制作类似“123456”的密码，这是过去时代的遗物。

“密码是你知道的。 设备是你拥有的东西。 “生物识别技术是你的强项，”Secure Auth的首席安全架构师斯蒂芬？考克斯(Stephen Cox)说。 “我们要转移到你的东西和你的东西上。”

本周，CNET正在研究将帮助我们摆脱密码问题的更改。 这样的改变是一个巨大的努力，将影响你每次检查电子邮件，转账或登录到你的雇主的网络。 我们将研究免除密码的认证方法、双因素认证的缺点以及如何更有效地使用密码管理器。 我们还将提供一些更新的密码选择建议，因为更深入的密码改进将需要多年才能到达。

阅读更多：2020年最佳密码管理人员

至少从20世纪60年代以来，电脑密码一直令人担忧。 麻省理工学院的研究人员Allan Scherr伪造了其他研究人员的密码，这样他就可以用他们的账户继续他自己的项目“盗机器时间”。 上世纪80年代，加州大学伯克利分校天体物理学家克利福德·斯托尔(Clifford Stohl)跟踪了一名德国黑客，政府和事计算机都不安全，因为管理员没有更改默认密码。

呆在知情的地方。 每个工作日从CNET新闻获得最新的技术故事。

密码的性质促使我们懒惰。 长的，复杂的密码，那些最安全的，是我们最难创建，记住和键入。 我们中的许多人默认回收它们。

这是一个巨大的问题，因为黑客已经拥有我们的许多密码。 我已经被删除的服务包括5.55亿个被数据泄露的密码。 黑客通过“凭证填充”来自动攻击，尝试一长串被盗的用户名和密码，以找到有用的。

快速身份在线，更著名的FIDO，解决了这些问题。 它规范了使用安全密钥等硬件设备进行身份验证。 Yubico、Google、Microsoft、Pay Pal和Nok Nok实验室等正在开发FIDO。

安全钥匙是房屋钥匙的数字等价物。 您将它们插入USB或闪电端口，允许单个数字安全密钥与许多网站和应用程序安全地工作。 该密钥可以与苹果的Face ID或Windows Hello等生物认证相匹配。 有些钥匙可以无线使用。

FIDO还允许网站和服务完全替换密码，这种改变可能使您的登录生活更容易，即使它使黑客攻击更加困难。

粉丝们有足够的信心对它的传播做出大胆的预测。 FIDO联盟(FIDO Alliance)执行董事安德鲁？希基亚尔(Andrew Shikiar)表示：“在未来五年内，每个主要的消费者互联网服务都将有一个无密码的选择。 “其中大部分将使用国际人权联合会。

硬件安全密钥为密码增加了新的安全性，并可以完全替换它们。

因为它只适用于合法的网站，FIDO停止了网络钓鱼，这是一种安全攻击，黑客使用欺诈的电子邮件和伪造的网站来欺骗你放弃你的登录信息。 FIDO还减轻了公司对灾难性数据泄露的担忧，特别是对敏感的客户信息，如帐户凭据。 被盗密码不足以让黑客使用登录，如果FIDO登录，公司可能不需要密码开始。

这是一种基于FIDO的登录方式，没有密码。 您将使用笔记本电脑访问网站登录页面，输入您的用户名，插入您的安全密钥，点击一个按钮，然后使用笔记本电脑的生物认证，如苹果的触摸ID或WindowsHello。

方便地，你也可以使用你的手机作为安全钥匙。 输入您的用户名，在您的手机上获得提示，解锁它，然后批准自己与其生物认证系统。 如果你在使用你的笔记本电脑，手机通过蓝牙通讯。

FIDO支持多因素认证提供的保护，这要求您至少通过两种方式证明登录凭据。

你第一次遇到FIDO可能和双因素认证没什么区别。 您将首先键入常规密码，然后插入或无线连接FIDO硬件安全密钥。

该过程仍然使用密码，但它比单独的密码或由短信发送或从谷歌身份验证器等身份验证器检索的代码支持的密码更安全。 这种方法-密码加安全密钥-是你今天如何在谷歌、Dropbox、Face book、Twitter和微软服务上使用FIDO，如Outlook.com和最终Windows。

认证服务公司Okta首席产品官DiyaJolly说：“硬件安全密钥非常安全。 这就是为什么国会运动，加拿大政府的计算服务部门和所有谷歌员工使用它们。

今天的消费服务通常要求您只有在第一次登录新的PC或电话时，或者当您正在采取特别敏感的行动，如从您的银行帐户转移资金或更改您的密码时才插入密钥。 当然，如果你在需要时没有现成的安全密钥，那么安全密钥可能会成为麻烦。

今天出售的安全钥匙包括Yubico的Yubikeys和Google的Titan。 基本模型花费$20，但如果你想要支持USB-C或闪电端口或无线通信，你将花费$40英镑。 像Ensurry的ThinC，eWBM的GoldengateG320和飞天的BioPass这样的先进模型已经内置了指纹阅读器，Yubico也在开发这一功能。

尤比科是安全钥匙的主要销售商之一。 这个基本的Yubi键模型插入USB端口。 你必须触摸按钮来显示你在使用它的时候真的在场。

你应该至少买两把钥匙，以防你丢失、折断或忘记你的主钥匙。 使用大多数服务，您可以注册多个密钥，因此您可以将一个密钥留在家里或保险箱中。

谷歌在2019年将FIDO关键技术直接构建到Android中，并在1月份对其iPhone软件进行了同样的操作。 这可以让您登录到您的笔记本电脑上的谷歌帐户与提示出现在您的手机，只要它是在蓝牙范围内的笔记本电脑。 预计这种方法会扩展到谷歌以外。

网站和浏览器获得FIDO认证的功能称为WebAuthn。 FIDO内置在Android中，所以应用程序也可以使用它，苹果刚刚加入了FIDO联盟，这对FIDO在iPhone应用程序中的支持是个好兆头。

微软也是主要的支持者。 它超越了谷歌，为Outlook、Office、Skype、XboxLive和其他在线服务启用了无密码登录。 您需要一个与Windows Hello人脸识别技术或指纹ID相结合的硬件密钥；一个与PIN代码相结合的硬件密钥；或者一个运行微软认证应用程序的电话。

FIDO使用了几十年来一直在线保护信用卡号码的公钥密码技术。 这种方法的一个很大优点是，FIDO安全设备----要么是硬件安全密钥，要么是一部手机----不能与伪造的网站一起工作，这是黑客在钓鱼获取密码时设置的常见陷阱。 与人们不同的是，他们通常不会注意到一个精心设计的虚假网站，安全密钥只在合法网站上注册。

谷歌认证工作负责人马克·里舍(Mark Risher)在一篇博客文章中写道：“使用安全密钥，而不是需要验证网站的用户，网站必须向密钥证明自己。” 在谷歌将其数万名员工转移到安全密钥后，成功的钓鱼尝试下降到零。

没有密码也意味着黑客窃取的敏感数据减少。 这是IT管理人员听过的音乐。 Secure Auth‘s Cox说，有了FIDO，公司就不再拥有“被盗凭证的中央数据库”。

坏消息来了。 到我们无密码的未来是不容易的。 我们都习惯了密码，我们或多或少对它们的工作方式感到舒服。 我们都有自己的技巧来整理它们。

设置安全密钥比选择密码更困难。 这很复杂，因为不同的网站使用不同的程序注册和使用安全密钥。 例如，Twitter今天只允许您使用一个硬件安全密钥，这意味着备份密钥将无法工作。

12岁的Yubico公司的首席解决方案干事Jerrod Chong说：“注册是一个可怕的问题，它负责制作安全钥匙，是FIDO联盟的重要参与者。” 不过，他预计入学率会有所提高。 （事实上，在我这么做的一年里，使用安全密钥变得更加顺畅了。）

把你拥有的账户数乘以你拥有的密钥数，你就会感觉到你面临的密钥管理麻烦。 硬件安全密钥也可能被打破或被偷，蓝牙密钥可以耗尽电池。

大多数人都熟悉密码。 他们已经长大了。 福勒斯特安全分析师蔡斯·坎宁安说。 “从消费者的角度来看，我们可能已经有5到7年的时间不会把密码当成现实。”

在公司内部，硬件安全钥匙不会轻易出售。 他们花钱，员工失去或忘记他们，也许最重要的是，他们只是不同于人们习惯的。 赫克，大多数人甚至不启用双因素认证，尽管这将大大提高他们的安全性。

“用户名和密码仍然是最普遍的选择，”出售认证服务的Auth0联合创始人、CTO的Matias Woloski说。 “没有人愿意对不提供这种选择采取行动。

然而，重要的是权衡安全密钥的问题与那些我们已经面临的密码。

硬件安全密钥阻止了密码启用的大规模网络罪。 重置被遗忘的密码的机制很昂贵，而且可能被窃取账户的黑客利用。 让我们面对现实吧，对于你使用的所有网站来说，记住强大而独特的密码是不可能的。

Okta的产品副总裁乔？戴蒙德(Joe Diamond)表示，FIDO驱动的安全密钥和手机，再加上无密码登录，将从根本上改善薄弱的安全性。 “这显然是未来。”