年度危險密碼 123456 將不再出現 W3C 研新型用戶登入驗證方式

日常的工作生活已離不開網絡上各種服務,大家或多或少都要記住不同服務的賬號密碼。基於保安理由,不少人會因應資料的重要程度選擇設置不同的密碼,然而時間一長,不常用的網絡服務往往容易忘記;亦有人因怕麻煩使用 123456 這些極為簡陋的密碼,失去了設定密碼的原意。為此萬維網聯盟 (World Wide Web Consortium, W3C) 決定組成專案小組探討更好的用戶身份驗證方式,以此取代密碼。

日常的工作生活已離不開網絡上各種服務,大家或多或少都要記住不同服務的賬號密碼。基於保安理由,不少人會因應資料的重要程度選擇設置不同的密碼,然而時間一長,不常用的網絡服務往往容易忘記;亦有人因怕麻煩使用 123456 這些極為簡陋的密碼,失去了設定密碼的原意。為此萬維網聯盟 (World Wide Web Consortium, W3C) 決定組成專案小組探討更好的用戶身份驗證方式,以此取代密碼。

 

W3C 研新標準取代密碼驗證

雖然媒體和安全專家不時警告用戶不應使用過於簡單的密碼,但十大危險密碼當中的 123456、password 等仍然年年高踞首位,不少更是用在 Hotmail 和 Gmail 等電郵服務上。究其原因,除了安全意識的問題外,更多人是避免設置了過於複雜的密碼而無法記住。

近日制定互聯網標準的 W3C 就針對相關的議題成立了名為 Web Authentication Working Group Charter 的專案小組,研究取代密碼的用戶身份驗證方式。目前的建議是應用類似兩步驗證的方法,在用戶端(瀏覽器)上開發 API,讓網絡服務能利用一組驗證鑰匙來保證用戶使用正確的裝置登入。

現時的計劃由 Google、Microsoft 和 PayPal 三方的工程師在 2015 年尾提交,名為 FIDO 2.0。利用 FIDO 2.0,當用戶瀏覽網站時,登入提醒會直接引導用戶的智能手機驗證身份,完成驗證後就能安全地登入。計劃亦提到若用戶意外遺失自己的智能手機 ,只需及時回報,在重新認證裝置前其他人將無法再使用遺失的手機登入服務。因此該計劃亦衍生了額外的問題,瀏覽器的 API 會假設裝置等同於用戶,但實際情況卻並非如此。

目前該小組主要由 Mozilla Firefox 安全總監 Richard Barnes 和 Microsoft 的 Anthony Nadalin 合作負責。新標準的提交限期為 2016 年 12 月,而且要實際推行到所有瀏覽器前還需要經過詳細評估和建議採用的階段,相信仍需要一段較長的時間,期間亦會不斷作出改進解決現有問題。若能成事,相信能解決用戶使用過於簡單密碼的安全問題,亦方便了用戶不必記憶各種服務使用的密碼。

 

Source: TheNextWeb