英国禁止默认弱密码的启示
关键要点
英国于2024年4月禁止某些物联网IoT设备使用默认的可猜测用户名和密码。该立法引发了关于是否应将其扩展到个人账户和其他国家的讨论。尽管英国立法是朝着改善物联网安全的积极一步,但单一禁止弱密码的措施并不足够。更好的身份验证方法应被优先考虑,以提升所有账户的安全性。2024年4月,英国成为全球首个禁止某些物联网设备使用默认可猜测用户名和密码的国家,这一举措在安全领域引起了广泛关注。此法规促使我们思考,是否应该将此类立法扩展至个人账户以及其他国家,例如美国。目前,美国仍主要遵循《联邦贸易委员会法》《儿童在线隐私保护法》和《加州消费者隐私法》等宽泛的监管。
在密码安全方面,基于共享秘密的保护措施本质上是脆弱的。虽然英国的立法是一个积极的开始,但没有任何措施可以防止用户将强密码更改为弱密码。因此,这项立法虽然好,但我们必须争取在安全性方面进一步提升,而不仅仅是禁止弱的默认密码。
密码禁止的范围与局限性
英国如何执行其立法?在全球数以亿计的用户中执行任何形式的强制规定都是不切实际的。而且,海外制造商也不太可能突然停止向英国发运弱密码保护的物联网设备。
即便如此,物联网设备的密码只是大多数人密码的一小部分。根据NordPass在2024年3月进行的一项调查,受访者平均拥有168个密码。没有使用密码管理工具的用户可能会更少,但根据Verizon 2024年数据泄露调查报告,77的基础网络应用程序黑客攻击都始于使用被盗的凭证。明确的是,单纯关注物联网设备并不能解决这一问题。
共享凭证如密码本质上是脆弱的,因此强化密码的想法也有缺陷。即使是最强的密码也不如双因素身份验证或无密码替代方法有效。
与其单纯禁止物联网设备的弱默认密码,我们更应该努力为所有个人和企业账户寻求更好的身份验证解决方案,超越传统的用户名和密码组合。
创新的身份验证方法
即使我们有效地在每一个账户上实施弱密码禁令,这种强制措施也不会激发创新。相反,禁令会使用户在登录时感到沮丧,并造成新的安全障碍。追求安全行业创新的国家应该专注于使用其他身份验证方法替代密码,而不是通过划定新的禁令。
海鸥加速器破解可以想象一个未来,在这个未来中,密码不再普遍存在,或者至少被更安全且用户友好的方法所取代。强化密码是一种权宜之计。我们完全可以将密码排除在外。
目前已经有许多创新超越了密码,诸如基于时间的一次性密码、通行密钥,以及可信的端到端加密通道。其他不使用密码的安全身份验证方法包括FIDO2/U2F、基于PKI的身份验证和设备上的生物识别技术。这些方法确认用户的存在,全面超越所有类型的密码。
密码替代方案表明,在不牺牲安全性和用户体验的前提下,保持两者的平衡是可能的。如果在特定情况下无法替代密码,立法可以起到作用,但激励双因素身份验证提供了更好的途径。引入另一种身份验证因素是明智之举,毋庸置疑,这样做要比单纯禁止弱默认密码要好得多。
提高默认安全性
虽然英国的禁令是向前迈出的一步,但是否应该由政府强制实施密码禁令,还是应由服务提供商主动采取行动?在技术快速发展的当下,
