您的位置: 网界网 > 新闻 > 正文

IoT是我们一直在等待的密码终结者

2015年06月23日 10:13:03 | 作者:邹铮编译 | 来源:网界网 | 查看本文手机版

摘要:Apple Watch意味着密码的终结?答案可能是肯定的。苹果公司最新的Apple Watch给可穿戴技术领域带来变革,正如iPhone在七年多前推动智能手机市场。

标签
密码
安全
IoT
Apple Watch

IoT将会推动身份验证的革命

Apple Watch意味着密码的终结?答案可能是肯定的。苹果公司最新的Apple Watch给可穿戴技术领域带来变革,正如iPhone在七年多前推动智能手机市场。

但在这个过程中,Apple Watch也暴露了技术行业在涉及可穿戴设备和其他IoT技术方面的问题:密码。

毫无疑问,Apple Watch的尺寸让传统字母数字密码变得不切实际,Apple Watch的38毫米记性只有272*340像素,而42毫米机型为312*390像素。

这也意味着这些设备很容易被盗。例如根据CNN网站的文章指出,Apple Watch并不需要其佩戴者登录,并设有重置按钮允许任何使用该设备的人清除其数据和设置,以及声称这是他们自己的设备。而iPhone和iPad有复杂的安全和访问控制功能,防止其被盗贼清除和重用。

全新的无密码世界

密码将会终结,而转向可穿戴设备和其他小型设备将会加速这种趋势,我们不再需要使用字母数字密码。安全公司Authy首席运营官Marc Boroditsky表示:“对于Apple Watch,用户需要验证到其手机来对Watch进行更新等,如果说有任何安全限制,那就是手机提供的限制。”该公司负责为Apple Watch提供身份验证技术。

现在Apple Watch的解决方案是双因素技术,这在很多网站和应用程序都已经很常见,包括谷歌、苹果的iCloud、Facebook等。软件会发送简单的数字代码到移动设备,然后在传统登录屏幕输入这个代码。而在Apple Watch的情况下,这个数字代码被简化成“是”或“否”的授权。

这从之前的双因素验证发展为与任何用户交互的基于距离的身份验证,这已经是汽车的常用功能。Apple Watch和其他可穿戴设备显著扩展了这种交互的可能用例。例如,如果房主在门口,而她佩戴着Apple Watch,门就会打开!

那么,对于根本没有屏幕的联网设备呢?可能有很多这样的物联网设备,例如嵌入式传感器、智能城市的基础设施和工业机器人。

“我们正走向新的世界,在那里,不再会有用户ID和密码,”证书颁发机构DigiCert公司首席安全官Jason Sabin称,“可穿戴设备、无屏幕设备或小屏幕设备,你最终要考虑身份意味着什么。”

在身份验证方面,Sabin认为,虽然没有图形界面,但是IoT设备会捕捉丰富的数据(生物识别数据等)。也许身份验证会变成检查你走路的方式,或者你如何与周围环境互动。

正确地确保IoT安全?

没有人知道这将会如何运作,更别说如何保护它。毕竟,这涉及数十亿联网的终端设备,这里有很高的风险。

现在有各种身份验证方式。安全断言标记语言(SAML)、开放式身份验证举措(OATH)和OpenID为用户提供了方法来连接到应用程序和资源。而Facebook Connect独立的身份系统也已经成为流行的方式,以帮助验证用户连接到在线服务。但所有这些都假定的是(+微信关注网络世界),验证设备是智能的联网设备,总是连接到互联网,并能够处理这种处理密集型交互。然而,对于很多低功耗、功能单一、间歇性连接的IoT终端设备,事情可能并不是这样。

与管理安全和身份相比,简单地连接曾经被断开的设备是更简单的问题。结果通常是,企业没有很重视安全和身份问题。

戴尔公司身份和访问管理产品经理Jackson Shaw表示:“大多数人想到,我如何更新?而不是我如何将这个IoT设备与个人或资源匹配?”

为了正确地确保安全性,IoT设备制造商需要锁定通信到使用TLS或类似技术的终端,他们还需要提供功能来推送软件更新和配置更新,并且在必要的时候,保护设备中的静态数据。此外,IoT设备可能会有几十年的使用寿命,企业需要想办法可以应对未来的需求。

在大多数情况下,我们不能不为联网设备提供安全保护,因为这些设备可能对企业IT环境带来非常大的风险。

Shaw希望OAuth2和UMA(用户管理接入)等新兴标准可以用于物联网领域的身份验证和权限管理,但物联网还有很长的路要走。

[责任编辑:孙可 sun_ke@cnw.com.cn]