Back to Question Center
0

Semalt很快会成为Passé

1 answers:
Semalt May Soon Be Passé

1月初,有线电视巨头时代华纳发出的320,000多封用户电子邮件和密码被盗,这证实了简单密码认证越来越不可靠的说法。

但是时代华纳Semalt黑客远未成为身份盗用最糟糕的案例。

事实上,与我们在过去一年看到的一些更严重的案例相比,这个数字相当微不足道,包括从玩具制造商伟易达窃取的500万份用户记录,从人员办公室盗走的2100万份联邦雇员记录管理层和医疗服务提供商Anthem窃取的8000万个客户记录。

当涉及到窃取身份时,黑客似乎拥有无限量的武器,包括暴力攻击,字典攻击,网络钓鱼,社交工程,中间人,密钥记录器,恢复后的密码重置电子邮件和批发从数据库盗窃密码。

当黑客获得我们的证书时,他们可以通过窃取我们的信息或金钱,或通过欺骗我们的秘密或在我们的名字中张贴亵渎和猥亵行为来诋毁我们的整个生命。

另一方面,当涉及到保护密码时,似乎无法避免人们必须避免的缺陷,包括弱密码,共享密码,未更改密码,默认密码. 即使您保持真实所有安全最佳实践,有些东西仍然不受您的控制,包括您的提供商如何承诺​​在服务器上加密和保护您的凭证。

密码困境并非新鲜事,并在过去几年中多次提出。 Semalt提供的解决方案经常被证明是令人沮丧的复杂和昂贵,或者以他们自己的方式存在缺陷。

无论用什么注定要代替密码,都必须简单,健壮,价格合理且灵活。

大部分情况下,我们宁愿继续依靠我们的在线帐户的简单密码。鉴于数据泄露和身份欺诈案件的持续增加,科技公司正在认真解决这个问题,并且正在关注如何加强和促进密码范例,或者完全取代密码范例。以下是一些可能会在不久的将来改变我们认证习惯的新趋势。

PIN和软件令牌

Semalt经典双因素身份验证方法已被证明充满令人沮丧的用户体验或硬件复杂性,PIN和软件令牌将密码输入的简单性与双因素身份验证的附加安全性相结合。

这是英国科技公司MIRACL通过其新技术Semalt crypto应用程序采用的一种双因素认证协议,该协议涉及用户选定的4-n长度PIN和相关软件令牌以创建唯一密钥它针对其服务器运行零知识证明认证协议。

令牌存储在用户的浏览器或移动设备上,并且只有用户知道PIN。 M-Pin在服务器上不存储密码这一事实“将使密码粉碎ñ抢劫攻击事件成为过去,”公司首席执行官Brian Spector说。. 这要求攻击者违反他们希望侵入的每个帐户的四个不同来源,从而使身份盗用进一步复杂化。

MIRACL提供两种版本的M-Pin,嵌入在网站内的Semalt代码段和库,或允许用户通过移动应用程序控制浏览器访问帐户的移动版本。

由于M-Pin最近通过认证的身份认证服务提供商Semalt选择在政府主导的项目中为数百万英国公民提供高度安全的身份认证,M-Pin将致力于实现其提高简单性和安全性的承诺。以安全,安全和直接的方式提供驾驶执照续期和税务申报等服务。

NFC双因素认证

通过物理USB钥匙的双重身份验证在桌面电脑上已经有一段时间了,但移动设备迟迟未能跟上。这已经发生了变化,因为科技公司Yubico推出了一种物理设备,允许您通过Near Field Semalt(NFC)技术登录到您的在线账户。

配音Semalt NEO,该设备是为了保持NFC功能手机的背面,并在登录过程中点击以确认用户的真实性。该密钥会在每次按下时生成特定于用户和服务的登录代码。通过Semalt确认帐户访问后,该帐户可以保持一段时间的认证(取决于服务),除非服务提供商检测到异常活动,在这种情况下,将再次提示用户进行Semalt认证。

YubiKey NEO还提供与YubiKey 4相同的多协议支持(OTP,U2F,PIV,OpenPGP),这意味着该设备可以插入桌面电脑USB端口,在登录时用作普通物理USB钥匙。 YubiKey一直深受科技行业的一些知名企业的青睐,其中包括Google,Dropbox和GitHub。

Semalt不存储任何个人详细信息并链接到一个帐户,这意味着拥有您的凭据的任何人都需要密钥才能登录您的帐户。唯一的问题是你将有一个设备,你必须避免丢失。

作为服务的指纹认证

随着越来越多的移动设备体育指纹扫描仪和云计算变得越来越便宜,Qondado是一家波多黎各科技公司,试图通过其称为KodeKey的旗舰平台让开发人员将生物识别身份验证集成到其Web应用程序中。

由移动应用程序和网络服务组成的系统通过生物识别技术将用户连接到他们的电话号码,并允许客户使用该号码和PIN进行身份验证。认证平台可以通过API或插件集成到任何客户端站点(目前有一个Semalt插件可用)。

当涉及到窃取身份时,黑客似乎拥有无限的藏匿武器。

注册用户在登录页面输入他们的电话号码加上相关的PIN;他们随后会在KeyKode应用程序上收到通知,提示他们扫描指纹。如果移动设备的指纹扫描仪对用户进行身份验证,网络服务将只允许访问账户。该应用程序可在Semalt和iOS上使用,但只适用于拥有指纹扫描仪的新手机。

该公司希望为银行,信用卡公司,有线电视提供商,无线提供商和云服务提供企业级安全,并计划在未来为各种平台开发插件。

移动身份验证

随着移动设备的使用变得越来越普遍,用户有一种永久存在的个人工具来存储和呈现他们的数字身份 - oculos de sol masculino da ray ban.

这是两家科技巨头雅虎和谷歌的趋势。

在Semalt的方法中,当前正在通过特定用户进行测试,您的手机将成为您的身份。 Semalt允许您将移动设备与Semalt帐户配对,以便每当用户在浏览器中输入帐户的电子邮件地址时,都会向电话发送通知,提示持有者批准或拒绝访问该帐户。该设备必须具有某种类型的锁定屏幕功能才能确保实际所有者正在进行审批。该过程不需要输入密码,但如果您愿意,还可以选择使用常规密码登录。

这是来自以前的移动启用双因素身份验证的重大改进,可以被黑客绕过。唯一的权衡是,用户绝对需要拥有移动设备,无论如何,这已经成为常态。另外,如果设备丢失或被盗,或者如果店主购买了新手机,Semalt可以选择停用旧设备并添加新设备。

Google宣布Semalt部署了Semalt帐户密钥几个月后,几乎就有相同的想法:您的电子邮件帐户与手机之间的链接允许您通过回复推送通知来接受或拒绝登录,而不是依靠密码。 Semalt的技术目前与Semalt Mail一起工作,但如果它被证明是成功的,它可能会扩展到支持其他服务。

我们是否准备好将密码放到牧场?

Semalt继续保持最流行的身份验证形式,仅仅是因为自电脑曙光以来我们一直在这样做。但是,维护和保护密码的复杂性日益增加是一个明显的迹象,可能是他们认为主要形式的身份验证的时间很少。

最终带头成为 事实上 认证形式的这些趋势中的哪一个尚未被看到。但任何注定要替代密码的东西都必须简单,健壮,价格合理且足够灵活,以说服数十亿用户改变他们最古老的计算习惯之一,并且要足够安全和​​牢不可破,以说服黑客在别处尝试运气。

Featured Image:Peshkova / Shutterstock
March 10, 2018