在開發Windows 8時,微軟面臨一個重要的挑戰就是如何幫助用戶管理你的數據身份,而且是以一種既方便又安全的方式。
當前,人們用以驗證自己數字身份的一個主要方式就是通過密碼,用密碼來登錄計算機、銀行、網絡服務等等。微軟研究發現,在美國用戶中,每位PC用戶都擁有25個左右在線賬戶,而這些賬戶的獨立密碼只有6個,也就是說每個人都會經常重復使用同一個密碼登錄不同的賬戶。
從一方面來講,這很容易理解,人們很難銘記大量的不同密碼,尤其是一些並不常用的賬戶。然而,密碼重復使用對於黑客來說卻是非常歡迎的,他們如果能從一個網站破解你的密碼,那麼意味著很可能使用這個密碼登錄你其它的賬戶,省去了不少力氣。更有甚者,他們可以利用你的個人信息將你其它賬戶的密碼進行重置。
顯然,現在的用戶名+密碼機制並不是十分安全。微軟希望實現一種流暢、輕松、安全的Web體驗,但是記住一串長而復雜的密碼讓網絡體驗變得不痛快,使用簡短的密碼又不安全。理想的方案就是找到一種方法,讓你既輕松又安全地使用所有的數字身份。
微軟認為要應對這個挑戰,有兩種基本的方法。其一,讓Windows來幫助你管理密碼。如果你在訪問每個網站時用的都是非常復雜而又獨立的密碼,這些密碼又不需要你來記憶,那麼比你使用便於記憶但是十分簡單的密碼安全多了,黑客們也不容易下手了。
第二種方法是,使用其它東西替代密碼來保護你的身份。密碼的替代品有很多,例如OTP(一次性口令)、證書、智能卡等。然而這些技術雖然已經出現了很久卻並未被大眾所接受,一個主要原因就是不易於使用,沒有密碼使用起來那麼便捷。
在Windows 8中,微軟提供了一種安全存儲用戶名/密碼的機制,引入了一種支持可替代身份驗證的技術。這些可以幫助用戶增強密碼安全、使用最新最強大的技術來保護你的數字身份。
密碼的缺點
攻擊者會利用很多方法來獲取你的密碼,最常見的有:
— 釣魚:發送惡意郵件、誤導用戶點擊鏈接、重置密碼等來獲取你的密碼;
— 猜測:根據用戶習慣、個人信息等進行猜測;
— 技術破解:攻擊者可以從網上下載一些數據(通常是密碼的散列值)用以破解你的密碼;
— 鍵盤記錄;如果攻擊者能順利在你的機器上安裝一個鍵盤記錄器,那麼就能盜取你的用戶名和密碼。
完善密碼的安全性和可用性
你可以采取很多方法來保護自己的密碼免受上述類型的攻擊,最重要的一點就是時刻保持你的PC是安全清潔的,確保沒有惡意軟件。Windows 8包含一系列的防護功能,例如安全啟動(Secure Boot)、智能篩選器(SmartScreen)和Windows Defender。
不過,有些攻擊(例如猜測)則僅僅要靠密碼強度來防護,所以你需要為每個賬戶設置一個復雜的密碼。
Windows 8通過兩種方法簡化了管理復雜密碼的難度。第一,自動將你訪問的網站、使用的應用程序的多個用戶名和密碼進行存儲、檢索,當然是以一種受保護的方式。
IE10就采用了一種證書,存儲你所訪問的網站的用戶名和密碼。另外,任何開發人員在開發Metro風格應用程序的時候都可以直接使用一個API來安全地存儲和檢索證書。
第二,使用Windows Live ID登錄Windows 8。這樣做的好處是,當你使用Windows Live ID登錄Windows 8後,就能同步你存儲在所有“可信賴”Windows 8計算機上的認證。
當你使用Windows Live ID登錄Windows並存儲了相關認證後,Windows 8將以你的名義自動提交證書,而不需要你來記憶這些復雜的密碼。如果你想要查看這些密碼,那麼可以到任何一台“可信賴”PC的認證管理器中查看。
創建一種簡單的密碼替代品
雖然使用復雜的密碼不容易別攻擊者猜到或是破解,但是卻可能會遭受釣魚攻擊或鍵盤記錄。不過,也有很多替代品可以防止你受到此類攻擊。
一種就是公共/私人金鑰組(key pairs),不過盡管這種技術已經很常見,但是卻仍未能替代傳統的密碼登錄。為什麼呢?主要原因就是一個私人密鑰的強大保護需要特殊的硬件,例如硬件安全模塊(HSMs)和智能卡,而通常使用這些硬件也是很不方便的。
不過,Windows 8的一些新功能就能讓用戶和應用程序開發人員都能輕松使用公共/私人密鑰技術。Windows 8采用了一種新的密鑰存儲提供器(Key Storage Provider,KSP),該功能對於銀行或商業應用非常有用,因為它提供了一種非常強大的保護,使得用戶免受現在網絡上常見的身份攻擊。
