试图杀死密码的初创公司

硅谷押注生物识别技术可以让我们免于记住无休止的登录这家吸引了网络安全史上 投资（超过50亿美元）的初创公司有一个简单的使命：它想杀死密码。

现在普通人必须记住70到80个密码，总部位于波士顿的TransmitSecurity认为，鉴于具有面部识别或指纹读取技术的智能手机和计算机无处不在，有一种更好的方式登录网站和应用程序。

Transmit总裁兼联合创始人RakeshLoonkar表示：“这就是市场发生的变化，在一年前、两年前还不是这样，”该公司在6月份从投资者那里筹集了5.43亿美元。

随着向远程工作的转变，以及与密码相关的黑客行为激增，例如Colonial的冻结，替换我们用于访问日常生活的容易遗忘且高度可破解的字母和数字字符串的需求变得更加紧迫。今年早些时候导致美国东海岸燃料短缺的管道。

去年，世界经济论坛抓住大流行，呼吁“无密码的未来”，认为它“通过减少整体攻击面和消除受损的凭证风险，极大地提高了公司的安全性”。

因此，更换密码的竞赛正在进行中，基于生物识别的安全性成为 的解决方案之一。

“我认为绝大多数消费者服务将在未来几年内提供无密码登录系统，”快速身份在线联盟或Fido的执行官AndrewShikiar说，该联盟由包括谷歌和微软在内的多家公司组成，它促进了无密码身份验证的标准系统。“如果以合规的方式正确且安全地完成，生物识别技术真的[帮助我们]以快速的方式迈向无密码的未来。有很多创新。..以及对该领域的大量投资。”

尽管可以生成和记住复杂的随机字符串的密码管理软件已经普及，但一些最常见的密码仍然是“”、“password”和“iloveyou”。

因此，根据世界经济论坛的数据，超过80%的黑客攻击涉及密码泄露，密码仍然是黑客最抢手的数据，高于其他个人或敏感信息。

在许多情况下，个人被网络钓鱼电子邮件和其他社会工程技术诱骗交出密码详细信息。但网络入侵者也试图闯入应用程序并窃取整个密码数据库，雅虎和领英等大型科技集团过去曾遭受过大规模的密码黑客攻击。

暗网上运行着一个活跃的密码市场，暗网上是互联网的一部分，只能通过无法追踪的浏览器访问。根据DigitalShadows的研究，黑客论坛中流通的凭据超过亿，来自,多个单独的漏洞。

密码也受到新技术的攻击，例如可以快速尝试猜测密码的自动机器人，一种称为密码喷射的策略，或者尝试在多个不同的在线帐户上窃取密码，这种技术称为凭据填充。

无密码的未来

几家初创公司正在说服越来越多的公司从密码切换到其他身份验证方法，以确保安全性、易用性和降低成本。

估计数各不相同，但对于许多公司而言，考虑到需要帐户恢复和呼叫中心员工，重置员工密码的成本每次在25美元到75美元之间。

Forrester年的一份报告发现，一些美国大型公司每年拨出超过万美元用于与密码相关的支持成本，包括反机器人技术。

无密码身份识别公司Veridium的首席执行官IsmetGeri表示：“这一切都与用户体验、合规性有关，而且还与省钱有关，”他补充说，由于到年，他的业务收入同比增长%。到高要求。

Veridium、Transmit和几家针对在线金融、支付和零售的初创企业已经采用了Fido和WEF都提倡的解决方案：生物识别技术。微软、谷歌和苹果也越来越多地使用Fido注入生物识别身份验证作为登录其设备的手段。

但使用此类系统仍然存在风险。与密码不同，生物识别信息无法更改。这意味着为了隐私目的和防止欺骗，当黑客试图用受害者的照片、面具或模具来欺骗相机或传感器时，必须严密保护此类数据。

CyberArk安全研究主管拉维·拉扎罗维茨(LaviLazarovitz)表示：“生物识别身份验证和无密码身份验证都有自己的攻击面。上个月，他的团队透露，他们发现了一个设计缺陷，潜在攻击者可以通过将伪造的用户面部照片注入该过程来绕过Windows的面部识别登录WindowsHello。

Lazarovitz说，这种攻击将非常复杂，需要对目标设备进行物理访问，但可能由“针对特定个人的民族国家攻击者”部署。他警告说，这种高价值生物识别数据的黑市可能会变得更加普遍。

生物识别登录的安全性

然而，根据Transmit的Loonkar的说法，生物识别系统的安全性有所提高。过去，生物识别信息通常保存在中央服务器上的数据库中，但现在可以确保它保留在个人设备的安全部分。

“当人们害怕生物识别技术时，他们真的很害怕集中存储的生物识别技术可能会被集中窃取，”Loonkar说，并引用了年*府持有的印度公民生物识别技术数据库的泄露事件。但他补充说，使用Transmit的技术，大规模黑客攻击是不可能的，而是必须“逐个设备地”进行。

与此同时，BioCatch和BehavioSec等其他初创公司正在探索通过使用“行为”生物识别技术持续实时验证用户来击败欺骗的方法。他们的系统学习用户如何处理他们的设备或在他们的计算机上的行为，并标记是否有任何可疑的变化。“行为生物识别技术应该是欺诈检测的另一层，”Veridium的Geri说。

尽管如此，密歇根州立大学杰出教授兼生物识别识别专家AnilJain表示，需要对新生的生物识别市场进行更大程度的监督，以防止公司或*府滥用。“就像个人信息与广告商共享一样，对于生物识别数据，我们需要严格的监管，”他说。

前路漫漫

但阻碍希望扼杀密码的初创企业的 障碍是如何改变多年的习惯。

网络研究和咨询公司TAGCyber的首席执行官兼创始人EdAmoroso认为，虽然敏感应用程序可能会迅速从密码转移，但其他网站（

例如在线扑克网站）更新其系统的动力较小。

“我的论点是你永远无法摆脱它们。你不能把某人的行为定为非法，”他说。“我们永远不会进入这个后密码时代。”

转载请注明：http://www.abuoumao.com/hyls/2607.html