一直以來(lái),密碼都是維護(hù)計(jì)算機(jī)安全的核心技術(shù)和黃金標(biāo)準(zhǔn)。
密碼算法和協(xié)議作為解決人、機(jī)、物的身份標(biāo)識(shí),身份鑒別,統(tǒng)一管理,信任傳遞和行為審計(jì)問(wèn)題,是實(shí)現(xiàn)安全可信、可控的互聯(lián)互通的核心技術(shù)手段。也正因如此,針對(duì)密碼的網(wǎng)絡(luò)攻擊從未止息,甚至呈現(xiàn)愈演愈烈之勢(shì)。
2020年1月1日正式實(shí)施的《中華人民共和國(guó)密碼法》將密碼分為核心密碼、普通密碼和商用密碼。其中商用密碼用于保護(hù)不屬于國(guó)家秘密的信息。本文討論的密碼主要指商用密碼。
密碼發(fā)展的“冰火兩重天”
隨著新技術(shù)新應(yīng)用的迅速發(fā)展,密碼作為網(wǎng)絡(luò)安全基石,在相關(guān)技術(shù)、標(biāo)準(zhǔn)、應(yīng)用等方面也得到了快速發(fā)展。
近期,中國(guó)軟件評(píng)測(cè)中心、中國(guó)計(jì)算機(jī)行業(yè)協(xié)會(huì)數(shù)據(jù)安全專業(yè)委員會(huì)編制并發(fā)布《商用密碼應(yīng)用安全性評(píng)估白皮書(2021年)》(以下簡(jiǎn)稱《白皮書》)。 《白皮書》指出,近年來(lái)我國(guó)密碼算法設(shè)計(jì)分析能力達(dá)到國(guó)際先進(jìn)水平,我國(guó)自主設(shè)計(jì)的ZUC序列密碼、SM2公鑰密碼、SM3雜湊密碼、SM4對(duì)稱密碼、SM9標(biāo)識(shí)密碼等商用密碼算法已成為國(guó)際標(biāo)準(zhǔn),這些標(biāo)準(zhǔn)覆蓋了密碼算法、產(chǎn)品、技術(shù)、檢測(cè)、應(yīng)用等多個(gè)方面,我國(guó)密碼標(biāo)準(zhǔn)體系正日益完善。
在產(chǎn)業(yè)側(cè),《2020—2021中國(guó)商用密碼產(chǎn)業(yè)發(fā)展報(bào)告》顯示,2020年我國(guó)商用密碼產(chǎn)業(yè)規(guī)模突破466億元,同比增速超33%。
在行業(yè)應(yīng)用方面,密碼技術(shù)和產(chǎn)品已廣泛應(yīng)用在通信、金融、教育、醫(yī)療健康、交通、能源、國(guó)防工業(yè)等領(lǐng)域。
例如,在物聯(lián)網(wǎng)應(yīng)用場(chǎng)景中,傳統(tǒng)身份認(rèn)證方式許多都是采用普通的口令認(rèn)證,密鑰強(qiáng)度低,安全隱患突出。
目前許多專業(yè)安全廠商提供基于商用密碼的物聯(lián)網(wǎng)安全解決方案,覆蓋云管端三個(gè)層面,實(shí)現(xiàn)密鑰安全分發(fā)、身份認(rèn)證、數(shù)據(jù)加密/簽名等安全服務(wù)。
商用密碼在物聯(lián)網(wǎng)領(lǐng)域的應(yīng)用視圖
(來(lái)源:中國(guó)軟件評(píng)測(cè)中心網(wǎng)絡(luò)空間安全測(cè)評(píng)工程技術(shù)中心)
電信和互聯(lián)網(wǎng)行業(yè)歷來(lái)是數(shù)字化進(jìn)程的先驅(qū),商用密碼在護(hù)航行業(yè)數(shù)字化發(fā)展,保障用戶數(shù)據(jù)安全過(guò)程中發(fā)揮著重要作用。例如,中國(guó)電信提出“商密云”,采用商密云存儲(chǔ)系統(tǒng)的“云+端”架構(gòu),實(shí)現(xiàn)商用密碼技術(shù)和云存儲(chǔ)技術(shù)的融合。
此外,商用密碼在云平臺(tái)運(yùn)維系統(tǒng)中也發(fā)揮了重要作用,諸如在某運(yùn)營(yíng)商機(jī)房之間通過(guò)專線連接,VPN專線采用用戶名+PIN+Ukey方式進(jìn)行身份鑒別,系統(tǒng)登錄采用賬號(hào)ID+PIN碼+Ukey方式,通過(guò)發(fā)送隨機(jī)數(shù)字進(jìn)行校驗(yàn)等,全方位保障數(shù)據(jù)安全。
商用密碼在電信和互聯(lián)網(wǎng)領(lǐng)域的應(yīng)用視圖
(來(lái)源:中國(guó)軟件評(píng)測(cè)中心網(wǎng)絡(luò)空間安全測(cè)評(píng)工程技術(shù)中心)
盡管密碼技術(shù)、產(chǎn)品、標(biāo)準(zhǔn)等發(fā)展迅速,相關(guān)行業(yè)需求也十分強(qiáng)烈,但密碼的發(fā)展在許多方面仍舊面臨諸多問(wèn)題?!栋灼分赋?,目前我國(guó)商用密碼應(yīng)用領(lǐng)域不夠廣泛,應(yīng)用方式還不夠規(guī)范,應(yīng)用服務(wù)尚不夠安全,應(yīng)用需求難以契合等。
而從全球來(lái)看,來(lái)自密碼的安全問(wèn)題不容樂(lè)觀。
微軟的一組數(shù)據(jù)表明,幾乎80%的網(wǎng)絡(luò)攻擊都是針對(duì)密碼的,每天有250個(gè)企業(yè)賬戶會(huì)遭到黑客攻擊。Verizon 2021年數(shù)據(jù)泄露調(diào)查報(bào)告中的一項(xiàng)統(tǒng)計(jì)數(shù)據(jù)顯示,61%的安全攻擊事件可歸因于憑據(jù)被盜。
身份認(rèn)證領(lǐng)域的密碼安全問(wèn)題始終都是整體安全防護(hù)中的薄弱環(huán)節(jié)。
不僅如此,還有更加令人憂心的事實(shí):My1Login的一項(xiàng)研究表明,雖然有人們都知道什么是強(qiáng)密碼,但53%的員工卻并不總是使用強(qiáng)密碼,并且85%的員工在接受安全培訓(xùn)后仍會(huì)在各個(gè)業(yè)務(wù)應(yīng)用中重復(fù)使用密碼。
也就是說(shuō),網(wǎng)絡(luò)安全培訓(xùn)很多時(shí)候在提高員工保護(hù)企業(yè)數(shù)據(jù)意識(shí)方面并沒(méi)有達(dá)到預(yù)期效果。因此,探尋其他有效的密碼管理方式和身份驗(yàn)證手段,成為企業(yè)維護(hù)網(wǎng)絡(luò)安全的當(dāng)務(wù)之急。
探尋身份認(rèn)證新賽道,無(wú)密碼將成新希望?
密碼管理帶來(lái)的成本也是一個(gè)不可忽視的重要因素。有調(diào)查數(shù)據(jù)顯示,全球員工平均每年花費(fèi)11個(gè)小時(shí)輸入或重置密碼。
對(duì)于平均擁有15000名員工的公司,這直接導(dǎo)致生產(chǎn)力損失520萬(wàn)美元。因此,不僅是安全問(wèn)題,改善用戶體驗(yàn)也成為越來(lái)越多的人開(kāi)始嘗試新的驗(yàn)證方式的理由。近年來(lái)出現(xiàn)了許多新興技術(shù)和新應(yīng)用方式,正成為代替?zhèn)鹘y(tǒng)密碼技術(shù)的新突破點(diǎn)。
無(wú)密碼(passwordless)技術(shù)作為一種新興的安全技術(shù)和身份認(rèn)證手段,正成為許多企業(yè)和安全廠商研究的重點(diǎn)。
此外,量子密碼作為以量子力學(xué)和密碼學(xué)相結(jié)合的新興技術(shù),正成為密碼新技術(shù)的一個(gè)重要研究分支。目前業(yè)界的研究主要集中在協(xié)議設(shè)計(jì)與分析、密鑰分發(fā)、身份認(rèn)證、秘密共享、安全直接通信等方面。
無(wú)密碼身份驗(yàn)證通常包括面部生物識(shí)別、硬件密鑰、動(dòng)態(tài)二維碼認(rèn)證、行為分析認(rèn)證和零知識(shí)證明等技術(shù)。
面部生物識(shí)別(人臉識(shí)別)在當(dāng)下已得到廣泛應(yīng)用,并在許多場(chǎng)景下取得不錯(cuò)的體驗(yàn)。雖然面部生物識(shí)別在識(shí)別準(zhǔn)確性與抗攻擊等方面仍存在不足,但隨著技術(shù)的提升,該項(xiàng)技術(shù)在發(fā)展前景上非常值得期待。
硬件密鑰或基于硬件的一次性密碼(OTP)形式多樣,可以置于小型USB、NFC或藍(lán)牙設(shè)備,也可以內(nèi)置在用戶手機(jī)中,在本地物理設(shè)備上實(shí)現(xiàn)對(duì)用戶登錄的身份驗(yàn)證。
動(dòng)態(tài)二維碼認(rèn)證也可用于身份驗(yàn)證,用戶通過(guò)掃描綁定到用戶身份的二維碼,觸發(fā)生物識(shí)別掃描來(lái)確認(rèn)身份。
行為分析認(rèn)證通過(guò)某些獨(dú)特因素諸如鼠標(biāo)移動(dòng)、打字習(xí)慣、登錄歷史記錄等,并配合其他驗(yàn)證手段來(lái)確認(rèn)用戶身份。零知識(shí)證明(ZKP)身份認(rèn)證是將密碼轉(zhuǎn)換為復(fù)雜且唯一的抽象字符串,通過(guò)相匹配的隨機(jī)序列來(lái)證明客戶端與服務(wù)器上的相應(yīng)的數(shù)據(jù)集相同。
此外,還有企業(yè)嘗試?yán)糜缮疃壬窠?jīng)網(wǎng)絡(luò)驅(qū)動(dòng)的聲紋算法,實(shí)現(xiàn)特殊的語(yǔ)音認(rèn)證解決方案,以解決用戶身份驗(yàn)證與欺詐問(wèn)題。
在國(guó)外,Ping Identity、RSA、Okta、微軟和Duo等公司都已為客戶提供了自己的無(wú)密碼平臺(tái),例如微軟的用戶可以使用AzureActive Directory 以及微軟民用服務(wù)進(jìn)行無(wú)密碼登錄。 Ping Identity為用戶提供一種多步驟的無(wú)密碼方式,它通過(guò)將身份驗(yàn)證手段相集中,并將基于風(fēng)險(xiǎn)的MFA和FIDO登錄密鑰用作不同級(jí)別的驗(yàn)證。
當(dāng)前無(wú)密碼技術(shù)尚處于不斷摸索和完善過(guò)程中,許多方面也存在一些爭(zhēng)議,但業(yè)界很多人對(duì)此保持樂(lè)觀。Ping Identity公司的創(chuàng)始人兼CEO Andre Durand預(yù)測(cè),在未來(lái)三到四年內(nèi),無(wú)密碼安全將成為常態(tài),但只有在不犧牲安全性的情況下方能消除對(duì)它的爭(zhēng)議。
誠(chéng)然,企業(yè)過(guò)渡到無(wú)密碼解決方案需要一定的成本與投入,不過(guò)從某些程度上來(lái)說(shuō)也是值得的。無(wú)密碼技術(shù)不僅可以減少企業(yè)的攻擊面,增強(qiáng)終端用戶安全性,同時(shí)也促進(jìn)了多因素身份認(rèn)證的采用以及遏制網(wǎng)絡(luò)經(jīng)濟(jì)犯罪。但總體上講,無(wú)密碼技術(shù)的普及尚需時(shí)日。
密碼是既古老又新穎的一項(xiàng)安全技術(shù),步入智能時(shí)代,密碼技術(shù)不會(huì)隨著新安全技術(shù)的發(fā)展而消失,密碼安全也并非單純追求密碼“有無(wú)”的問(wèn)題,如今它依舊不可或缺,并將通過(guò)新的方式換發(fā)新生機(jī),最終完成在解決安全問(wèn)題的同時(shí)能為用戶帶來(lái)良好體驗(yàn)的使命。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- 美媒聚焦比亞迪“副業(yè)”:電子代工助力蘋果,下個(gè)大計(jì)劃瞄準(zhǔn)AI機(jī)器人
- 微信零錢通新政策:銀行卡轉(zhuǎn)入資金提現(xiàn)免手續(xù)費(fèi)引熱議
- 消息稱塔塔集團(tuán)將收購(gòu)和碩印度iPhone代工廠60%股份 并接管日常運(yùn)營(yíng)
- 蘋果揭秘自研芯片成功之道:領(lǐng)先技術(shù)與深度整合是關(guān)鍵
- 英偉達(dá)新一代Blackwell GPU面臨過(guò)熱挑戰(zhàn),交付延期引發(fā)市場(chǎng)關(guān)注
- 馬斯克能否成為 AI 部部長(zhǎng)?硅谷與白宮的聯(lián)系日益緊密
- 余承東:Mate70將在26號(hào)發(fā)布,意外泄露引發(fā)關(guān)注
- 無(wú)人機(jī)“黑科技”亮相航展:全球首臺(tái)低空重力測(cè)量系統(tǒng)引關(guān)注
- 賽力斯發(fā)布聲明:未與任何伙伴聯(lián)合開(kāi)展人形機(jī)器人合作
- 賽力斯觸及漲停,汽車整車股盤初強(qiáng)勢(shì)拉升
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。