行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
如果你也忘记过密码!那微软这波操作可太赞了
2021-10-02 19:46:07 【

最近微软安全部门的副总裁 Vasu Jakkal 宣布了一条,让各位微软用户甚至欣慰的通告:微软用户在登入微软旗下的账号时,不需要再输入烦人的密码了。


这消息,对于很多像世超这样的“ 记密码困难户 ”来说,简直就是个“ 造福人类 ” 好消息了,毕竟谁喜欢记忆一大堆的密码呢?

其实早在 2017 微软就尝试用 Microsoft Authenticator 让用户免密登录微软账户。

差友们可以把这个 Microsoft Authenticator 简单的理解为一个微软在手机上的一个安全令牌,当你想要登入微软的账号时,这个安全令牌就会收到一个个人识别码。


用这串数字来来确认你的身份,这种安全验证的模式,相信差友们应该不会陌生,不知道还有多少差友记得十年前,网易做过一个叫做将军令的东西。

跟一个 MP3 差不多大小,这玩意每过 60 秒就会更新一个新的秘钥,差友们可以简单的理解为:微软把这玩意做成了一个 App ,放在你的手机上,用来代替密码登入。


2018 年微软对自己的无密码登入进行了进一步的升级,加入了指纹登入、摄像头面部识别等安全验证的方式。

并且还把自己的 Edge 浏览器和用户的 Windows 10 电脑进行了一个账号的绑定,只要你用自己的 Windows 10 电脑登入微软的账号,电脑就会自动识别,完成安全验证。


这种绑定Windows 10 电脑的操作,对于很多用户来说真的是很友好了,毕竟谁愿意记这么多复杂的的密码呢?

到了2020 年 5 月,微软公司的透露,每月已经有 1.5 亿的用户在使用无密码登入了,并且这个数字还一直都在增加,看来使用无密码登入觉得算是个众望所归的决定了。


为了更好的推动无密码登入的发展,微软还把如何使用 Microsoft 账号进行无密码登入的操作操作步骤,写进了他们的用户帮助文档里。

并且在第一行,还明确表示了无密码登入是:新一代安全性、简单、快速、安全的验证方式。


其实微软这次的无密码登入,并没有什么让人眼前一亮的黑科技,用的技术都是现有的安全验证的办法,只不过这次微软直接把设置密码这道程序都省略了。

支持用户不设置密码,就能够登入账户。

并且微软还给安全验证做了个详细的分级,单纯的密码登入被羞耻的挂在了安全性最差的榜单上。

其实那就现在的网络安全环境,单纯的密码登入也确实少见了。


而微软说单纯的密码验证,是目前安全性最差的加密方式也是有一定道理的。

为了图省事,相信很多人来回来去,用的就是这么几套密码比如:姓名缩写+出生日期;或是字母组合+手机号码啥的。

没错,说的就是在看文章的各位!

而这些简单密码,说到底是字母和数字的排列组合~

黑客们用“ 暴力破解 ”的笨办法,就有可能攻破这种类型的密码。

别看黑客们平时在网络上总是被吹捧的特别“ 神秘 ”、“ 高端 ”,其实这种“ 暴力破解 ”密码的手段,在黑客盗用密码时是最常见的。

从理论上说,只要把所有的字母+数字的可能性都试一遍,总有一次找到正确的密码。

举个极端的例子,假如用无限只猴子放在无限的空间里,让它们一只不停的敲击键盘,总有一天有一只猴子能够敲出一本《 莎士比亚 》。

当然了,这个理论不是我说的,而是出自埃米尔·博雷尔一本在 1909 年出版谈概率的书。


而黑客们只需要写一个程序,把任何密码的组合试一遍,按照现代计算机达到每秒几十亿次的计算速度,这不相当于有每秒有几十亿只猴子,在打字机前帮他试密码嘛。。。

不过为了应付黑客们这种“ 暴力破解 ”,现在的密码加密都加入了加密算法,比如:签名算法、对称加密算法、DH 秘钥交换算法等等。

这些加密算法的原理是对明文的密码继续某种算法处理,让它成为不可读的代码“ 密文 ”,使其内容变得不可读,通过这样的方式让来保护数据不被非法人窃取、阅读的目的。


所以黑客想要用“ 暴力破解 ”的方式,破译你的密码计算量是十分庞大,除非他们使用量子计算机,要不然等待一个密码破译的时间,黄花菜都凉了。

所以黑客还会在破译你密码时,加入一些统计学的东西。

根据密码管理公司 NordPass 在数据库在对近 2.757 亿个密码进行审查后,发布了 2020 年网上账户最常用的 200 个密码名单。

不出所料啊,123456 又一蝉联 “ 最烂密码榜的第一名 ”。


而如果黑客提前知道了你的姓名、手机号等等个人信息,那么在“ 暴力破解 ”你的密码,就极大的降低了他们试错的成本。

当然了,为了预防这种“ 暴力破解 ”的黑客攻击,厂商们也想了很多方法,相信经常忘记密码的各位都经历过,需要做密码验证的痛苦经历。

有时候是让你输入一串怪异的验证字母,有时候则是让你在图片里找不同。

这些连小朋友都会做的事,其实就是在测试在电脑前输入密码的到底是不是人。


不过道高一尺魔高一丈,除了这种“ 暴力破解 ”的手段,黑客还会用撞库的手段来破译你的密码。

撞库,就是拿着网络上已经泄露的密码和账号,去尝试破解另一个网站。相信差友都习惯把很多账号的密码都设置成一样的。

毕竟这样比较省时省力嘛,也算是人之常情了,但是这一点也会被黑客给利用,所以世超强烈建议在一些涉及金融安全的账号上,最好别用一样的密码。

否则很容易被黑客“ 一锅端 ”了。

所以 iOS 的钥匙串 或者 Chrome 的一些密码管理插件,都会自动帮你生成一串又臭又长的随机密码并且保存在系统上,这些措施都在变相的增加,黑客破译你密码的难度。

密码这种加密手段虽然是现在最普及最常见的,却不一定是最安全的,而现在也慢慢的出现了一些更加高级的加密手段,比如手机验证码登入、指纹密码、面容识别等等。

现在主流的安全验证都采用的是两步验证的方法。

差友们最常见的就是密码+短信验证这种形式了,除了短信验证还有 PIN 码、一次性秘钥等等二次验证方式。

而无密码登入的这种形式,在手机上也很常见了:现在的智能手机不带个指纹解锁或者面部识别,都不好意思拿出来卖。

现在的 iOS 系统,也早早了适配了用面容 ID 代替密码输入的无密码登入了。


另外一些带指纹识别的安卓手机,也同样支持用指纹代替密码输入的安全验证模式了。


这些登入方式,其实本质上也是无密码登入的一种形式。

从长远来看,密码登入这种形式并不会这么快被淘汰。

比如现在的设备不适配,老旧系统不兼容,就是现在的无密码登入面对的一大难题。

差友们可以想象一下,当所有 App 都在手机上适配了无密码登入比如指纹、面容这种需要硬件支持的无密码登入。

那么那些使用老人机的朋友,怎么登入自己的账号呢?

从目前密码登入是最高效、普及的登入方式,不过微软作为一家体量如此巨大的互联网公司,已经在往前走了,迈出了无密码登入普及的一大步。

迟早使用密码登入会成为下一个时代的眼泪。

或许十年之后,当我们再跟自己的孩子聊起密码时,他们会好奇的问我们:密码是什么?


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇预防电子邮件网络钓鱼攻击的10种.. 下一篇国家网络安全宣传周10月中旬举办

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:010-56157787 ,010-56159998
企业QQ:4000043998
技术支持:010-56159998
E-Mail:800@fangyuba.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:4000043998 01056155355
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800