密码安全难点怎么样解?区块链身份认证平台有“药”可治

没哪个不讨厌记密码——我、你本人、甚至FACEBOOK的老板马克·扎克伯格,一定都很讨厌去记各种场所的密码,大家常常会把密码忘掉,据德勤(Deloitte)公司统计,至少有37%的用户登陆网站的时候会忘记密码,从而用“找回密码”的功能。(参见多竞价推广账户用密码为“dadada”)

大家常常在不同网站用最容易的数字加字母组合,以便于不容易忘记密码。据百利(Experian)公司统计,一位一般用户用5个不一样的密码登陆26个网站,但10000个最常见的密码组合就可以登陆98%的竞价推广账户。

twitter有3300万竞价推广账户,LinkedIn有1.65亿竞价推广账户,Tumblr有650万竞价推广账户,VK.com有1.71亿竞价推广账户,Badoo有1.27亿竞价推广账户,MySpace有3.6亿竞价推广账户。

现在有超越10亿的个人竞价推广账户被破解,并在互联网上公开销售。在这个密码易于失窃的年代,低困难程度的密码获得很容易,甚至比钓鱼网站、恶意软件和漏洞借助还要容易得多。“密码确认”工具目前随时可以找到匹配重复用密码的网站。

这就是为何攻击者正是通过密码筛选或盗窃的方法来破解用户竞价推广账户是什么原因。在2013年有76%的竞价推广账户遇到过攻击,而截至到2021年,该数据更达到了95%(选自Verizon的数据被盗调查报告)。黑客仅需选择最脆弱的地方——容易的密码,就可拓展攻击。企业花费了很多的本钱,并创建了高质量和高安全的系统,但所有些努力都由于其顾客用了容易的诸如“12345”如此的密码而功亏于溃!

或许这就是为何每位用户的系统安全本钱在201USD,与在2021年因为互联网犯罪的亏损额将高达21亿USD是什么原因(是2021年的4倍多——数据源于Juniper Research公司)。

不管安全专家怎么样努力地讲述怎么样按需要创建竞价推广账户密码,都不可以打败人性的弱点,那就是用容易易记的密码。

尽管目前有海量的方法和方法,可用于解决密码被破解的问题,如1Password和LastPass如此的密码存储服务商,为顾客提供密码记忆和创建一个主密码等,但他们都只不过做了小小的常规方法改变,并没解决这个问题的本质。不少程序(如浏览器等)一般需要“记住密码”,以便于下次自动登录,这都是不安全的。当有人接近你的计算机,即可获得你的自动登录信息,因此密码亦会被窃。

最大的问题在于,记录用户登录名和密码的数据库是中心化结构的,所有信息都存储于中心化的服务器,所有登陆验证的基础是记录于该服务器的用户名和密码。当然一些如网站管理员的用户用的密码比常规用户的密码要复杂得多,这将致使黑客对这部分复杂密码的竞价推广账户更有魅惑力,这也是黑客为何要黑进密码服务器要用更多的方法和缘由,黑客甚至需要找到带密码的文件,或是写有密码的纸张才可以登录。

其结果就是,大家创造了另外的安全系统以保护非常重要的竞价推广账户——“二次验证”(2FA),该验证方法基于物理设施和人的记忆力。

比如,大家都知道的Google身份验证——用户需要将手机上的二次验证码输入到电脑才可登录,而这部分验证码会在短期内改变。第三申明一下,如此的方法依旧是不安全的(用户在输入二次验证码之前,其电脑已被置于黑客的控制之下)。而且就便利性而言,用户也懒得每次都输入二次验证码,除非是尤为重要或极少登陆的竞价推广账户。

另一个大伙熟悉的二次验证方法就是通过手机短信的信息获得验证码。这就产生了另一个问题,发送类似短信的本钱价格。此外,俄罗斯等专制政府的情报部门对短信拦截的历史由来已久。

我想提及一下“Clef”——它提供了缓解之首要条件到的安全问题的服务,但不可以用于手机。

用如U盾或其他设施的硬件令牌,可以便捷地在公司里用,但对于用数目大,并拥有智能手机的用户来讲是超级不便捷的。

以上是近况的描述,而我想表达的看法是:尽管目前所需的软硬条件都满足了,但依旧没一种既便捷,又易于用,还足够安全的解决方法用于身份验证。

但幸运的是,大家拥有区块链!

分布式、去中心化的数据库解决了中心化服务器容易被入侵的问题,除此之外它还适用于不对称加密的256位长度的秘钥,该秘钥可视为超级安全的密码。当然这么长的密码(秘钥)一般人非常难记住,但根本无需记住这段长密码——秘钥可在移动钱包生成,就是说,秘钥可被手机存储。

大家还用SSL证书保护像“中间人攻击”的通道。解决的方法是生成的匹配顾客电子邮件和电话号码的SSL证书,同时写入证书哈希(Hash)到区块链进行校验。

当顾客访问网站,浏览器会提示用户需要显示证书。

网站服务器收到证书,第一检查其签名。

服务器生成随机数后,通过包含在证书中的公钥对其进行加密,并发送到顾客的浏览器,即一次性连接密码。

拥有证书文件和秘钥的浏览器提取秘钥,然后将加密的密码发送到服务器。

服务器通过区块链检查证信件息,以确认顾客拥有正确的秘钥,为此,服务器检查了证书序列号,并在该序列号中搜索,在服务器核对收到的证书校验码后,确认该证书的序列号与注册时用的证书一致。

假如攻击者产生了同顾客序列号相同的证书,他讲没办法导入校验码到区块链,由于该证书已被顾客用。假如攻击者创建了一个其它序列号的证书,这个证书只能拥有另外的ID,服务器将为其创建一个新的竞价推广账户。

目前,需要让用户感到用起来很便捷,为此,大家需要用户只输入电子邮件地址和电话号码(不需要密码!!),在当地生成包含该数据的证书,并且让用户安装到浏览器中。

之后,需要用户从确认邮件链接中激活竞价推广账户,并以电话号码的形式确认并发送信息到顾客服务机器人。第三提醒下,这个方法和发送手机短信验证码不同,确认的形式给了移动电话二次验证的独立通信通道,排除去黑客感染计算机信道的机会。

如此,大家既没用密码、中心化服务器和公共数据库进行登陆,又为顾客提供了足够的便捷。在平时中,大家并无需用二次验证信息(2FA),对于大部分服务器而言,浏览器证书足够安全——就像目前常常用的“保存密码”以自动登陆一样便捷,但又免于中心化服务器被黑的风险,也没用户密码泄露的担心,更不会用“忘记密码/找回密码”功能。对于敏锐的数据服务,推荐使用二次验证(2FA),但即便用二次验证,也会非常便捷易用——只需要在信息中输入“Yes”即可!

证书可安装在手机上(SDK),操作系统会建议安装其他保护手段:生物辨别、PIN码、图形锁,这部分手段供顾客自行选择,但非常重要的是,即便最容易的其他保护手段也比目前的要安全。同时允许顾客从任何设施上访问,这就为将来的大事件做好了筹备,那就是——物联网应用!生物统计学和密码由于是依据现有些令牌硬件和U盾,因此没办法用大家的设施,但大家可以使其比目前更安全。

用于安全连接和易于部署的SSL证书

可用到任何设施:台式机、手机、汽车、无人机等

电子邮件和手机号码用于注册:不需要钱包、不需要节点、不需要密码

便捷和安全的二次验证:用独立的信道同当地机器人进行信息交互

htth3s://getclef.com/

没中心服务器:无攻击薄弱点

一个竞价推广账户即可在多个网站用

htth3://emercoin.com/EMCSSL

便于管理的多竞价推广账户

你的竞价推广账户与手机号码及电子邮件有关联,因此你才可以在恢复手机号码之前,通过邮箱中止对竞价推广账户的访问。在那之后,才大概重新颁发证书。服务器用的系统象银行一样,为了使在最复杂的状况下恢复竞价推广账户,大概会采集其他数据,如文件副本、顾客照片。伴随时间的推移,我期望能在区块链上存储完整的的身份信息,在这样的情况下,物理形式的证书将不再需要。

通过SSL证书身份验证已在崛起币(Emercoin)中达成。大家用这个定义为MVP加入第二验证,借助安装的钱包自动生成一个证书而无需服务器部署。大家还计划将这一技术部署在BTC的侧链上,以便于更便宜的转账,假如大家看到有这方面需要的话。

对用户来讲是不收费的。所需的成本是由第三方服务机构(如银行、交易平台等)支付,由于他们想要减少安全成本,与改变和缓解顾客对其服务的评价。可能有的状况下,该服务的成本会要客户来承担。比如,BTC交易平台拥有数目庞大的顾客,但收入却很小,在此状况下,顾客支付1USD/年的成本应该是可以同意的。

选择客服支付模式的一个缘由,就是在区块链上创建一个帐户时需要完成一笔买卖。另外,因为设施损毁等缘由,还需要按期地重新颁发证书。

我非常乐意听到公众对此具备便利性解决方法的建议:譬如,对于无经验的用户来讲,下载证书会非常难吗?(它的下载和安装像任何程序),你看到了什么漏洞吗?作为一种服务机构或者作为一个用户,你会用如此的技术吗?

https://news.ycombinator.com/item?id=11845346

https://www.bellingcat.com/news/2021/04/30/russia-telegram-hack/

此文出于传递更多信息之目的,并不意味着同意其看法或证实其描述。本网站所提供的信息,只供参考之用。

你会喜欢下面的文章?