转载 | 零登录:无口令身份认证的兴起

2024-05-27 01:58

本文主要是介绍转载 | 零登录:无口令身份认证的兴起,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

基于用户行为的身份验证新技术终将宣告口令退出历史舞台吗?

![img](http://www.aqniu.com/wp-content/uploads/2018/05/gettyimages-692915427.jpg)

FIDO联盟(线上快速身份验证联盟)和万维网联盟(W3C)最近公布了一个新的技术标准,可以让用户用安全密钥或智能手机之类的外部验证因子免口令登录网站,这是口令消除渐进过程中的一块重大里程碑。口令不仅用户体验糟糕,安全性更是饱受诟病。若设备智能到可即时识别用户身份,基于可信信息而不是口令提供一种个性化的安全体验,会有什么样的效果呢?该名为“零登录”的新技术可能将永绝口令后患。

我们大多数人都用过指纹或人脸识别来解锁智能手机,但很快,可能连这一步都不需要了。用户的行为,比如划过屏幕或输入字符的方式、位置情况、常规工作时段等等,都是特定于用户个体的。新技术就是基于这些因素进行用户身份识别,让用户什么都不用做就能登录所有应用。

想要骗过零登录技术,身份窃贼们可能需要花费几个月时间并投入数千美元的设备。因而,零登录技术基本上意味着身份窃贼的失业。不过,还是有一些负面的东西需要新的规则和标准来监管,保护用户的边界、信息与隐私。比如:

  • 用户如何知晓自己什么时候是被监视着的?
  • 用户怎么知道自己什么时候登出了?
  • 这些行为数据的受保护情况如何?

身份验证的未来

零登录或许听起来还有些科幻小说的未来感,但其实其理念已经投入实践。一些银行可以识别出用户用新手机登录或用从未到过的咖啡店的WiFi连接网银的情况。一旦检测到这种“异常”,银行会要求用户验证邮箱或手机号,证明是本人在操作。

包括亚马逊在内的一些大型零售公司也在尝试基于用户行为进行身份验证。点击屏幕的力度、输入的速度等等因人而异,攻击者难以猜测或复制。手机中的运动传感器还能从行走模式“认出”用户——每个人的步态都是唯一的,别人模仿不来。综合所有这些信息,手机不需要口令也能分析出现在拿着它的人是不是自己真正的主人。

其他设备的信号也可以被手机检测到,比如自己的座驾、健身传感器、耳机等等,能够以此为基础构建出用户的常规行为模式。这些生活习惯提供了证明一切如常的另一层保障。

以上行为识别技术单拎出来可能还好破解或绕过,但骗过全部?这技术难度未免太大。多种技术综合在一起还能识别出手机当前是否未经主人同意就在解锁模式下被别人拿走,然后立即锁定或干脆完全关机。口令可做不到这一点。

上下文很重要

用手机从信用卡上划1美元下单买个泰迪熊送到家这种事,是攻击者会做的吗?不太可能。今天很多应用即便欺诈交易可能性极低的情况都会要求用户提供口令。在线商城不愿意损失销量,而很多人会在面对口令输入框的时候再考虑一下要不要买。

零登录技术不仅关注用户身份,还注意用户试图去做的事。它们擅长分析哪些事情是普通人会做的,而哪些事情又是攻击者会干的。口令依然存在,但用户可能再也不会被要求输入了——因为手机已经识别了用户。完美的零登录世界中,只有攻击者才会被要求输入口令。

负面因素

如果手机时刻在收集关于用户的一切信息,怎么保护这些信息?这些信息发往何方?目前,大多数时候这些信息都是闲置状态,并不会被用到。零登录技术需要用到这些信息,但怎么使用是个问题。比较好的用法是在手机上运行软件收集处理,只往云端发送“风险评分”,让云端的软件做出智能身份验证决断。不好的用法就是把关于用户的所有信息——行为、生物特征、位置信息等等,都通过互联网发送并存储在云端。即便信息是加密的,其被攻击者浸染的风险依然存在。所以,为什么每次换新iPhone都得重置一下指纹?因为用户的指纹是本地存储在手机里的,从来不通过互联网发到云端存储。

如果没有显式的登录过程就登入了服务,其间的隐私问题怎么算?虽然几乎没人会幻想互联网上还存在完全的隐私,我们依然希望能保留一部分的隐私,个人生活至少不要全部毫无隐藏。在被动身份验证模式下,我们可以轻松登录所有账户,随时随地,毫无阻碍,甚至意识不到登录过程的存在。

我们也需要能明确终止某在线会话的途径。有些人用Uber之类公司的服务是出于个人原因,有些人则是职业需要。如果我就是名出租司机,那雇主在工作时间追踪我的位置毫无问题。但下班之后我可能就需要知道自己已经登出服务,可以自由地揽点儿私活了。

或许有朝一日,这个需要记住几十个复杂口令的时代,会让后人诧异。他们或许会想:动动手指就行的事儿,到底哪个脑子不开窍的搞出这种费脑子记口令的方法啊?然而,就算未来的无形身份验证更便捷,也不能让它凌驾于人类的隐私、安全与授意之上。这些工具应从一开始就按正确的方式构建。

相关阅读

  • Authing 是什么以及为什么需要 Authing
  • 我们为什么坚持做 ToB 的慢生意
  • Authing 知识库

原文链接: https://www.aqniu.com/tools-tech/33791.html 作者:nana 星期四, 五月 10, 2018

什么是 Authing?

Authing 提供专业的身份认证和授权服务。
我们为开发者和企业提供用以保证应用程序安全所需的认证模块,这让开发人员无需成为安全专家。
你可以将任意平台的应用接入到 Authing(无论是新开发的应用还是老应用都可以),同时你还可以自定义应用程序的登录方式(如:邮箱/密码、短信/验证码、扫码登录等)。
你可以根据你使用的技术,来选择我们的 SDK 或调用相关 API 来接入你的应用。当用户发起授权请求时,Authing 会帮助你认证他们的身份和返回必要的用户信息到你的应用中。

Authing 在应用交互中的位置

  • 官网:http://authing.cn
  • 小登录:https://wxapp.authing.cn/#/
  • 仓库: 欢迎 Star,欢迎 PR
    • https://gitee.com/Authi_ng
    • https://github.com/authing
  • Demo:
    • https://sample.authing.cn
    • https://github.com/Authing/qrcode-sample
  • 文档:https://docs.authing.cn/authing/

欢迎关注 Authing 技术专栏

Authing 社区

这篇关于转载 | 零登录:无口令身份认证的兴起的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1006209

相关文章

Security OAuth2 单点登录流程

单点登录(英语:Single sign-on,缩写为 SSO),又译为单一签入,一种对于许多相互关连,但是又是各自独立的软件系统,提供访问控制的属性。当拥有这项属性时,当用户登录时,就可以获取所有系统的访问权限,不用对每个单一系统都逐一登录。这项功能通常是以轻型目录访问协议(LDAP)来实现,在服务器上会将用户信息存储到LDAP数据库中。相同的,单一注销(single sign-off)就是指

浅析Spring Security认证过程

类图 为了方便理解Spring Security认证流程,特意画了如下的类图,包含相关的核心认证类 概述 核心验证器 AuthenticationManager 该对象提供了认证方法的入口,接收一个Authentiaton对象作为参数; public interface AuthenticationManager {Authentication authenticate(Authenti

【测试】输入正确用户名和密码,点击登录没有响应的可能性原因

目录 一、前端问题 1. 界面交互问题 2. 输入数据校验问题 二、网络问题 1. 网络连接中断 2. 代理设置问题 三、后端问题 1. 服务器故障 2. 数据库问题 3. 权限问题: 四、其他问题 1. 缓存问题 2. 第三方服务问题 3. 配置问题 一、前端问题 1. 界面交互问题 登录按钮的点击事件未正确绑定,导致点击后无法触发登录操作。 页面可能存在

【Kubernetes】K8s 的安全框架和用户认证

K8s 的安全框架和用户认证 1.Kubernetes 的安全框架1.1 认证:Authentication1.2 鉴权:Authorization1.3 准入控制:Admission Control 2.Kubernetes 的用户认证2.1 Kubernetes 的用户认证方式2.2 配置 Kubernetes 集群使用密码认证 Kubernetes 作为一个分布式的虚拟

【Shiro】Shiro 的学习教程(二)之认证、授权源码分析

目录 1、背景2、相关类图3、解析3.1、加载、解析阶段3.2、认证阶段3.3、授权阶段 1、背景 继上节代码,通过 debug 进行 shiro 源码分析。 2、相关类图 debug 之前,先了解下一些类的结构图: ①:SecurityManager:安全管理器 DefaultSecurityManager: RememberMeManager:实现【记住我】功能

OpenStack离线Train版安装系列—3控制节点-Keystone认证服务组件

本系列文章包含从OpenStack离线源制作到完成OpenStack安装的全部过程。 在本系列教程中使用的OpenStack的安装版本为第20个版本Train(简称T版本),2020年5月13日,OpenStack社区发布了第21个版本Ussuri(简称U版本)。 OpenStack部署系列文章 OpenStack Victoria版 安装部署系列教程 OpenStack Ussuri版

Shell脚本实现自动登录服务器

1.登录脚本 login_server.sh #!/bin/bash# ReferenceLink:https://yq.aliyun.com/articles/516347#show all host infos of serverList.txtif [[ -f ./serverList.txt ]]thenhostNum=`cat ./serverList.txt | wc -l`e

OpenStack Victoria版——3.控制节点-Keystone认证服务组件

3.控制节点-Keystone认证服务组件 更多步骤:OpenStack Victoria版安装部署系列教程 OpenStack部署系列文章 OpenStack Victoria版 安装部署系列教程 OpenStack Ussuri版 离线安装部署系列教程(全) OpenStack Train版 离线安装部署系列教程(全) 欢迎留言沟通,共同进步。 文章目录 创建key

提问的智慧(转载)

此文让我受益良多。值得一读,大家如果也觉得不错就一起来推~~~   ---------------------------------      在黑客世界里,当提出一个技术问题时,你能得到怎样的回答?这取决于挖出答案的难度,同样取决于你提问的方法。本指南旨在帮助你提高发问技巧,以获取你最想要的答案。       首先你必须明白,黑客们只偏爱艰巨的任务,或者能激发他们

Struts2常用标签总结--转载

Struts2常用标签总结 一 介绍 1.Struts2的作用 Struts2标签库提供了主题、模板支持,极大地简化了视图页面的编写,而且,struts2的主题、模板都提供了很好的扩展性。实现了更好的代码复用。Struts2允许在页面中使用自定义组件,这完全能满足项目中页面显示复杂,多变的需求。 Struts2的标签库有一个巨大的改进之处,struts2标签库的标签不依赖于