认知了指纹颠覆性的身份认证技术
发布时间:2022-01-17 11:14:58 所属栏目:安全 来源:互联网
导读:如果一个网站只需要输入用户名,然后点击登录按钮,就可以成功登录,并且其他人无法进入你的账户,听起来是不是很不可思议? 事实上,你输入用户名的时候,网站就已经认出你了。互联网上几乎所有的网站,都在使用密码作为用户身份认证的方式,这一手段稳定,
|
如果一个网站只需要输入用户名,然后点击“登录”按钮,就可以成功登录,并且其他人无法进入你的账户,听起来是不是很不可思议? 事实上,你输入用户名的时候,网站就已经认出你了。互联网上几乎所有的网站,都在使用密码作为用户身份认证的方式,这一手段稳定,可靠,经久不衰。但是现在技术日新月异,各种各样的破解、漏洞、信息泄露,使得密码变得不那么安全。 DEFCON 2013,InsidePro小组在48小时内破解了52713组密码 1近几年频发的拖库、撞库事件,让互联网公司及广大网民头痛不已。网站一般会采取以下措施 提醒用户不要使用与其他网站一样的密码;强制用户增加密码的复杂程度;要求绑定手机、邮箱作为辅助认证手段;使用动态口令装置、USB证书;为了防止机器撞库、破解,在页面中加上验证码;但最终的实施成本都转嫁到了用户头上 —— 我们需要记住每一个复杂密码(以及与网站的对应关系)、输入难以看清的验证码、查看手机短信、甚至需要随身携带一堆利用率极低的密保装置。 密码认证有两个难以攻克的问题:一方面,简单的人机交互使得机器人可以轻松模拟人的操作,为自动化的Hack工具提供了便利(验证码在廉价的打码平台面前已经形同虚设) 另一方面,一旦认证通过,系统将会建立起用户会话(Session),而自认证通过的那一刻起,到会话结束的这段时间里,系统并不能保证终端用户一直都是同一个人。 这些认证技术无一例外,都需要借助外设,有的还价格不菲。并且这些手段都是强制性干预,会在用户操作的过程中进行阻断,得到用户的反馈之后,方可进行认证、放行。跟传统认证手段一样,此种认证是无状态、不可持续的,仅能保证在认证的那一瞬间是有效的。 (编辑:江门站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐