世界口令日，我们来探讨口令 (上)

五月第一个周四是世界口令日。世界口令日从2013年开始，一次次的提醒我们，要关注认证口令安全隐患，为安全的身份认证规划未来。

也许口令终将消失的说法过于理想，但是无口令确实在逐步成为最新的趋势。我们将分几期，来探讨无口令之路。本期是海外一些安全专家，对无口令的一些探索和思考。

很多年来，大家一直在探讨消灭口令。但口令依然活跃于我们生活中，每年造成几十亿美元的损失。现在，我们迎来了拐点，生物识别技术、多因素认证（MFA）和标记化技术的进步，以及FIDO联盟的兴起，正在推动这一进程。

Forrester Research的高级分析师肖恩·瑞恩（Sean Ryan）说：“我们在消除口令方面取得了一些实际进展，但仍有很多工作要做。”他指出，事实上，如今70%的组织仍然依赖于以口令为中心的身份认证方法。

对于消费者和组织来说，没有什么比使用维护口令更令人沮丧的了。根据Gartner常引用的统计数据，60%的客服咨询与口令重置有关。人们会忘了口令、会泄露口令，甚至会立马忘了刚刚新建的口令。

微软身份部门负责项目管理的副总裁亚历克斯•西蒙斯（Alex Simons）表示：“人类完全不可能有效地管理记忆，来使用密码。”

事实上，根据企业口令管理公司LastPass的数据，普通员工平均要管理近200个口令。西蒙斯说，比较讽刺的是，尽管大多数系统都会对口令有安全性和复杂性的要求，但它们仍然极易被黑客破解，因为大部分口令都是基于月份和年份之类的简单组合。“人们的口令通常是非常明显的模式，对普通人来说很难破解，对黑客来说却很容易做到。所以我们得想办法解决这个问题。”

尽管出现了单点登录（SSO）、生物特征认证以及大量更先进的工具和技术，许多组织仍然需要依赖口令。一方面，老的硬件系统和应用程序需要口令，许多大型机通常是一个8位的口令。普华永道（PwC）网络与隐私创新研究所（Cyber and Privacy Innovation Institute）负责人乔诺塞拉（Joe Nocera）表示：“仍有很多有价值的数据只受8到12位字符保护。”

另一方面，直到现在，也并没有真实一个案例，做到让网站、APP或物联网设备彻底消灭口令。攻击者通过窃取口令、拖库获取明文或Hash口令，获得了丰厚利润，让他们可以从事从身份盗窃到植入勒索软件的一切活动。如今，一个8个字符的口令只要两个半小时就能破解。

在许多方面，口令是数字时代的数字钥匙。“口令是用来提供对服务器上数据的安全访问的，但是口令也存储于服务器上。这样做的问题是，服务器上的任何东西都可能会被盗。”FIDO联盟（Fast Identity Online）执行董事兼首席营销官Andrew Shikiar说。

FIDO联盟是一个由250多家重量级企业组成的联盟，致力于推进无口令解决方案。

值得注意的是，根据“2020 Verizon数据泄露报告”，80%的泄露与口令有关。钓鱼攻击的成功率已高达50%，每个用户的帮助台成本超过70美元，组织必须开始重新思考怎样使用更强大的口令来解决这个问题。

此外，消费者因忘记口令和需要重置而取消了三分之一的网购订单。但同时，据Experian的一项调查发现，约75%的公司非常担心引入MFA会给客户带来不便（MFA要求用户通过多种方式验证自己的身份以访问应用程序）。

实现无口令并不是一条畅途。随着企业开始规划和实现一个无口令的未来，带有口令的MFA扮演着核心角色。短信验证码、移动应用（如Microsoft Authenticator或Google Authenticator）上的一次性口令，或移动端、可穿戴设备（如Apple Watch）上基于令牌的推送认证，可以将攻击成功减少99%以上。对于老硬件和软件，也可以将MFA其中。

西蒙斯的建议：“在任何地方都要使用MFA，这是排除风险的最重要途径。”

普华永道（PwC）的Nocera表示，在消灭口令的道路上，一个很好的过渡步骤是使用留在本地设备上的PIN或令牌。这种方式下，即使口令被泄露，也没有其它的登录入口。他说：“有可能使用一个软的或硬的token，甚至是一个挑战应答工具，来认证这个人就是他们所说的那个人。”

此外认证可以与行为分析（如地理位置数据或异常检测）相结合，以提高所需身份数据的级别。“做了这么多，只是不希望口令成为唯一的钥匙，”诺切拉补充道。

智能手机和可穿戴设备上的人脸识别、指纹识别并不能够总是替代口令，但它们可以减少口令输入和口令重置的次数。西蒙斯说，此外，由于手机在本地存储身份数据的可信安全模块（TPM，几乎所有现代PC和智能手机都拥有的一种安全加密处理器）、生物特征和其他敏感机器数据（包括加密密钥），这种模式下无法从外部访问，数据永远不会离开机器。

这意味着，即使没有无口令系统，也有可能获得签名，用以此证明一个人身份。首先是前后端口令匹配，其次是验证签名（存储在用户设备的TPM中的第二因子身份认证器签出），最后是用户使用私钥登录。此时，安全风险大大降低，用户可以更无缝地登录账户。

其他更高阶的MFA工具包括使用FIDO U2F或FIDO2协议并通过USB、蓝牙低能（BLE）或近场通信（NFC）连接的安全密钥设备。例如YubiKey、RSA SecureID和Google及飞天的Titan安全密钥。用户有可能访问钓鱼网站，并录入用户名密码和其它某种形式的多因素身份认证凭据，但硬件令牌在虚假网站上是行不通的（origin、facetId限制）。尽管这些设备首次使用设置有点麻烦，但后续使用上通常比手机或手表更简单。

当然，最终的目标是彻底消除口令的使用。当前最新的软件和系统越来越多的支持无口令框架（包括eBay、Microsoft Windows Hello for Business和Azure等网站，以及iPhone、Apple Watches和各种Android设备内置的各种应用），这一转变已经开始。

推动这种变化的是FIDO2，它依赖于一组规范，这些规范将移动和桌面环境中的身份验证标准化。这包括WebAuthn和CTAP，它们为web基础架构（包括浏览器）提供协议和API。FIDO2提供了一个框架，要求登录信息保留在设备的TPM中，从而消除了网络钓鱼风险，并引入了无法跨站点跟踪的加密密钥。主流的科技和金融公司，包括苹果、谷歌、微软和亚马逊，都加入了FIDO联盟。

“FIDO2技术正在实现向无口令的过渡。”Forrester的Ryan说。“经历了多年的承诺，终于让这个概念成为现实。我们可能还会继续看到各种形式的口令——有些基础设施、系统和应用程序不能完全实现无口令——但如今，企业可以开始实施无口令系统。”