二维码的出现给生活和社交带来便利,只要下载一款手机二维码软件,启动手机摄像头,对二维码轻轻一扫描,“拍一下、扫一下”,就可以获取其中“隐藏”信息。想到哪家餐馆吃饭,手机扫一下它的二维码,餐馆地址、招牌菜、网友评价、消费水准等信息一应俱全;超市购物,扫一下食品条形标签,生产日期、保质时间等“来龙去脉”就会映入眼帘……除此之外,二维码还能储存信息、储存密码,甚至能颠覆使用近60年之久的互联网账户和密码的使用方式。
石盾科技二维令开启无密码时代
近日,互联网安全公司石盾科技在互联网身份认证创新论坛上发布了一款基于二维码的物理令牌产品——二维令,这款产品一经推出就受到了行业以及各界专家的肯定。它使用目前流行的二维码元素,将用户众多网络登录及系统登录需求变成更为轻松便捷的“扫一扫”体验。通过APP软件和物理令牌两部分组成,给予用户方便快捷、高效安全系统登录方式。比起传统登录方式,二维令有着更加简单便捷,安全放心等多项优势及特点,是一款颠覆传统登录方式的产品,让沿袭了60年之久的账户密码登录真正取代,将快捷和安全带给使用者。
密码登录已60高龄,暴力破解让密码不再安全
据了解,第一个计算机密码是由著名的麻省理工学院在上世纪60年代发明,而转眼半个世纪过去了,密码从存储的明文存储、到IC存储,再到普通使用的开源IC,虽然技术在不断进步,但都没有在根本上解决密码安全的问题。无论是上世纪80年代RSA公司发布的太灵牌,还是目前正广泛流行的短信验证码,都在安全方面存在一些隐患。而如果我们设置一个很强壮,强壮到只能记得住部分的密码,那么是否写在纸条上,随身带着是不是就安全了呢?也不一定。
石盾科技CEO韩晟现场演讲
随着计算机运算能力提高,特别是显卡运算速度飞速发展,暴力破解密码也不是很困难。通过使用高性能的计算机,把所有可能的数字、字母、符号组合全部算一遍,总能试出来。除了采用GPU加速我们还可以采用彩虹表,彩虹表就是采用空间换时间的方法,将破解时间大大缩短,它把所有可能的字母、数字、符号的组合,密码跨期值预先计算出来,变成一个庞大的彩虹表,通过查表的方式快速匹配,就可以在很短的时间内破解密码。可以说,有着60岁高龄的密码登录在现今高性能的GPU服务器集群和巨大的彩虹表面前几乎不可避免的被攻破。
密码登录创新不断,业界看法始终不一
虽然破解方法不断出现,但实际上围绕着互联网身份认证的技术创新也一直没有间断过。从双因子机制的短信验证码、动态优盾,以及基于生物技术的指纹识别、眼膜、声膜等技术,他们都在使用不同领域的技术来提高用户个人信息的安全。但业界却有着不同的声音。
互联网身份认证创新论坛
安天实验室(Antiy Labs)首席技术架构师肖新光表示:“短信验证码是双因子的机制,这个双因子的机制有个短信确认,但通过采集PC端和移动端信息,跨平台进行感染,可以将双因子机制破解。尤其是PC和手机归同一个人所有的时候,这种机制就会有着很大的安全隐患。”
而对于指纹识别等基于生物技术的身份识别方式,业界也有着不同的声音。“生物信息是不可废止资源的,一共就10个手指头,指纹就十个,剁了再长一个也长不出来,虹膜就两个,还有骨相、掌纹,这是不可废止资源,一旦流失不可再生,是生物识别的问题。”一位业界专家这样表示。
便捷+安全双驱动,二维令有望开启无密码时代
通过以上介绍,我们能够看出不仅是有着60岁高龄的账户+密码的登录方式有着安全隐患和使用不便,即便是更加安全的短信验证码和指纹识别等也存在的一些安全问题。而二维令的出现则在方便和安全方面找到了一个平衡点,通过扫描二维码这种大家生活中简单易用的方式,来帮助用户更快捷安全的进行身份认证,使得互联网身份认证方式再一次颠覆。
中国电子认证服务产业联盟秘书长、赛迪智库信息安全研究所所长刘权
“石盾科技的二维令将短信密码或用户令和口令密码加上PKI技术很好地结合起来,第一保证安全,第二确实很便捷,可能连用户名和密码都不需要输入。它把便捷性、安全性很好地结合在一起。”中国电子认证服务产业联盟秘书长、赛迪智库信息安全研究所所长刘权说道。
来自OWASP中国北京的毕宁则表示:“二维码的应用很常见,地铁里买个饮料能扫扫二维码付款,非常方便,同时还可以让我们的应用更加安全。所以,二维令的出现颠覆了互联网的复杂密码登录方式,只要用手机扫一扫就可以安全登录。这种方式让我眼前一亮,可能是代表未来的东西”。
不仅如此,在互联网身份认证创新论坛上,业界专家对二维令也是赞赏有加。“二维令这样的产品很大程度上解决了密码安全问题,就是传统账号登录遇到的问题。因此二维令使用的私钥方式,让整个在线的过程和用户交易是环环相扣的,在安全方面有不错的保障。”
目前全球信息安全风险严峻,安全事件不断发生。二维码作为一种近年新兴的入口验证方式,使用上非常便捷,已经广泛应用于电子凭证、防伪溯源等领域。而石盾科技将我们熟悉的二维码运用到作为密码技术的二维令产品中,不仅让互联网的登录方式变得简单容易,还将真正的安全带给用户。