天天狼人杀改密码

您有多少个密码？ 可能超出您可以轻松记住或自己轻松管理的范围。 我敢打赌，当您在线注册某些东西时，您会害怕提出新的想法。

贝宝（PayPal）的乔纳森·勒布朗 （ Jonathan LeBlanc）的任务是用更安全，更易于使用的方式替换密码。

他也不是一个乌云密布的梦想家或理论家。 LeBlanc是PayPal和Braintree的开发人员倡导负责人，并且对安全性，身份和社交技术一直有兴趣。 他还是《 社交应用程序编程》的作者，并帮助设计了PayPal和Yahoo等公司使用的开发人员身份验证技术。

在POSSCON 2015上 ，LeBlanc将发表题为“ 杀死所有密码 ”的演讲 。 我与他交谈，以了解有关密码问题的详细信息以及可以替换的内容。

密码有什么问题？

问题本身不一定是密码。 问题在于，人们在创建具有任何复杂程度的密码时都感到恐惧。 如果我们查看2014年有关密码泄露的统计信息，大约5％的人使用密码作为密码。 大约10％的人口使用password ， 123456或12345678 。 如果我们查看前1000个泄露的密码，则占泄露密码的91％。

我们可以构建系统来通过使用习惯识别执行设备指纹识别，位置验证和识别，但是如果密码选择不多，所有这些将成为次要的。

我们如何通过密码达到这一点？

我们是人类。 我们每天都被技术和帐户所淹没，大多数人会选择一个容易记住的密码。 这是有道理的，但是无论我们告诉人们多少密码选择非常不安全，人们仍然会继续在所有帐户上使用弱密码和相同密码。 到了这一点，是因为我们希望人们选择一系列复杂的多字符，数字和符号，这对他们来说无济于事，以确保他们的帐户安全。

您是如何参与该驱动器的以杀死密码？

这是我参与安全和身份行业的工作自然而然地产生的。 大约六年前，当我在Yahoo工作时，我正在与他们的OAuth 1 （后来的1.0a）和OpenID集成以及一些用于他们的社交登录和社交应用环境的更具实验性的身份验证技术一起工作。 这使我对登录背后的某些安全体系结构有了真正的尝试，并促使我帮助构建了PayPal开发人员产品背后的身份验证系统。

我在所有这些过程中意识到的是，系统的安全性与系统的可用性之间存在细微的界限。 我们必须找到一个平衡点，在尽可能保护用户的同时，我们还能够给他们带来轻松的体验。 这种无密码身份验证的驱动力是其发展过程。

有没有一种方法可以使每个人都容易获得安全的密码？

绝对。 在消费者方面，诸如1Password或LastPass之类的密码管理器系统正变得越来越流行，并且只允许您记住一个主密码。 除此之外，您的其他帐户可以具有无法记住的高度安全的密码，而系统只会为您记住。 无论是个人还是职业，我都使用1Password。

在系统方面，我们可以根据典型的使用习惯，通过使用设备和浏览器的指纹识别，区域检测和标识，进一步为用户带来安全性，而所有这些都不必影响用户的额外安全性。

用什么可以代替密码？

如果我们打破了用户名和密码的概念，它们将识别您的身份（ 用户名 ），然后通过只有您应该知道的事情（ 密码 ）来验证该事实。 提供这些功能的任何技术都可以做到这一点，因此与其说保留用户名和更改密码，不如说是真正的事情，而实际上是以不同的方式描绘这些系统。

开源技术将如何在替换密码中发挥作用？

在数据安全方面，为了进一步保护用户名/密码身份验证，您有许多开源密钥哈希和盐化实现。 如果使用得当，它们可以安全地存储用户信息，包括那些密码。

OAuth 1.0a，OAuth 2和OpenID Connect等身份验证和授权技术都为登录用户并允许应用程序代表用户执行操作提供了更安全的实现。 他们所做的不只是在应用程序和登录主机之间来回加密密码之类的安全信息。

随着我们开始探索生物识别技术，可穿戴设备，可嵌入设备和其他技术，它们可能成为告诉系统您是谁的另一个因素。 他们可以使用多种身份验证因素将其转换为有效的登录名。 开源硬件，特别是微控制器和传感器，被用于构建这些下一代原型。

这些技术的安全性如何？

这实际上取决于您要保护的内容。

首先让我们看一下哈希的密码安全性。 通用哈希算法（例如MD5和SHA1）是为提高速度而构建的，以便能够在尽可能短的时间内处理尽可能多的数据。 在密码安全中使用密码的问题在于，由于攻击者无法逆转哈希，因此他们可能只是使用不同的潜在输入发起蛮力攻击，直到生成正确的哈希。 哈希算法越快，这种攻击就越可行。

诸如bcrypt和PBKDF2之类的算法使用一种称为密钥扩展的技术。 它们使您可以确定哈希函数的价格（在时间和/或大小方面）有多昂贵。 我们选择使解密速度变慢以防止这些潜在的攻击，但仍要使其速度足够快而不会影响有效用户。 这些算法虽然很慢，但是却非常强大且安全。

对于生物识别技术，一个需要关注的问题就是误报率。 这就是将无效用户视为有效用户并允许访问的频率。 由于大多数有关生物特征认证的最新研究千差万别，因此很难准确确定其中大多数的安全性。 生物特征识别是识别您身份的一种很好的机制，但是还需要进行身份验证的第二个因素。 当然，当涉及到较低的假阳性率时，某些生物特征识别源要远远优于其他生物识别源。 例如，通过血流测量静脉唯一性的静脉识别技术比指纹识别提供更高的安全性。

这些技术中最有前途的是？

通过可穿戴设备，可植入设备，可注射设备和可摄入设备在生物识别领域内完成的工作具有很大的前景。 实际上，将由可穿戴设备和计算机来保持短期发展，因为大多数人群并不真正认为可嵌入领域中的任何事物在文化上都是可以接受的。

我认为我们将看到围绕个人身份识别的众多机制，该机制使用用户可以访问并知道的第二个身份验证因素，以便将用户名和密码用于潜在的解雇。 目前，在商业，医疗应用以及许多其他行业中都在探索这个领域以及为其提供支持的技术。

这些技术还在哪里使用？

未来生物识别技术正在做的许多工作都来自商业和医疗行业。

例如，在PayPal内部，我们正在与合作伙伴合作，这些合作伙伴正在开发静脉识别技术，心跳识别频段。 我们还是FIDO联盟董事会的成员 ，该联盟旨在为将来的身份识别创建统一的规范。 在医疗行业中，我们将可嵌入的传感器和可穿戴式计算机视为具有潜在新身份的首批人类整合技术。

人类仍然是链条中最薄弱的一环吗？

是的，人类永远是最薄弱的一环，因为绝大多数人总是会选择阻力最小的道路，而不是为其提供最大安全性的道路。 不过，实际上，在许多情况下，技术实施也应受到指责。 安全的方法（例如使用不容易猜到的复杂密码）意味着该人必须记住对他们无意义的内容，而让我们的大脑记住与其他内容无关的内容则要困难得多。

诸如关键管理器之类的技术以及诸如生物识别之类的其他技术正走在正确的道路上。 正确的解决方案是找到为用户提供身份验证的最安全的方法，而又不会为记住该身份验证的复杂性而给用户造成麻烦。

您什么时候看到密码快要死了（如果有的话）？

密码不会消失，只会更改。 互联网安全，生物识别或其他地方正在使用的许多识别技术正在研究用户名和密码的实际含义：识别您的身份并进行验证。 通过可穿戴设备，可嵌入设备或可摄入第二要素身份验证系统以及许多其他技术触发的生物识别技术都在迎接这一挑战。

本文是POSSCON 2015 演讲者访谈系列的一部分。Palmetto 开源会议是一个专注于开放技术和开放网络的技术会议。 POSSCON将于2015年4月14日至15日在南卡罗来纳州哥伦比亚举行 。

翻译自: https://opensource.com/business/15/4/interview-Jonathan-LeBlanc-PayPal

天天狼人杀改密码