智能手機會終結所有密碼嗎？

如今許多人在工作和生活中都用到智能手機，無所不在的智能手機儼然有望取代用于身份驗證的密碼。

大多數專家一致認為，想提高網站安全性，勢必需要有一種方法來終結密碼。人們訪問網站時常常喜歡使用容易被別人猜到的密碼，這嚴重降低了密碼的有效性。此外，借助先進的解密技術，黑客甚至可以輕易破解經過加密的密碼。

由于這年頭幾乎人人都有智能手機，智能手機被認為是存儲登錄憑證的理想地方。如果在智能手機中添加許多可用于識別用戶的傳感器，那么使用這種設備用于驗證的理由就變得更充足了。

市場研究公司加特納集團的分析師特倫特·亨利（Trent Henry）談到基于智能手機的驗證時說：“我覺得這個想法很棒。我們認為，這將是未來流行的驗證模式。”

替代技術的出現

許多安全廠商與亨利持有相同的觀點，它們正在竭力推動行業往這個方向發展。這些安全廠商包括Authy、Clef和Duo Security等。

連各大安全公司也開始進入這個市場。7月，EMC公司旗下的RSA收購了PassBan，而PassBan提供的技術可以使用智能手機進行語音和臉部識別，以實現多因子驗證（multifactor authentication）。

如今，大多數安全廠商使用手機實現雙因子驗證。如果某個網站支持安全廠商的服務，那么當某人登錄這個網站時，一個獨特的個人身份識別碼（PIN）就會發送到其手機上。輸入這個PIN，也就完成了登錄過程。

遺憾的是，大多數消費者不愿意采取這些另外的步驟，于是廠商在繼續尋找一種更簡單、更無縫的方法。

Authy公司近日往這個方向邁進了一步，它推出了一款應用程序，可以將iPhone或安卓手機通過藍牙連接到蘋果電腦上。從那時候起，當用戶訪問Facebook、Dropbox、Google Gmail或其他支持該應用程序的網站時，存儲在手機中的登錄憑證就用來自動登錄網站。

Authy創始人兼首席執行官丹尼爾·帕拉西奧（Daniel Palacio）認為，這款應用程序僅僅是個開始。總有一天，同樣的驗證方法有望用到谷歌眼鏡、智能手表或另外某種類型的可佩戴式設備上。

Authy及其競爭對手開展的工作表明，業界在尋求一種完美的解決方案，可是任重而道遠。

生物特征識別技術或占主導地位

弗雷斯特研究公司的分析師伊夫·馬勒（Eve Maler）說：“市場上的泡沫試驗表明，我們還沒有找到最理想的解決方案；我們可能永遠也找不到適合各種情景的單一解決方案。除非有一天出現這樣一種解決方案，否則密碼不可能完全被取代。”

手機想取代密碼，它就必須知道登錄網站的是用戶本人，而不是偷得或撿得手機的騙子。生物特征識別技術就是一種可行的方案，但前提是開發出可靠的、高度安全的指紋掃描儀及語音和臉部識別技術。

另一種可能的方案是可識別用戶走路姿勢的手機傳感器。這種技術名為步態識別技術，目前在佐治亞理工學院和麻省理工學院處于研究階段。

一旦生物特征識別技術能夠非常可靠地識別手機用戶，“我們會開始擁有非常安全的驗證系統，用起來極為方便，”帕拉西奧說。“人們只要買來它，就能發揮作用。”

雖然此類系統可能比目前使用的密碼保險得多，但這并不意味著黑客將無事可干。亨利說：“攻擊者會繼續瞄準這些新技術，所以我們得非常認真地對待這些新技術的安全性。換而言之，你仍得評估可能會發生哪種類型的攻擊。”

-沈建苗編譯