在最近哥本哈根召开的 IT Forum 上,Bill Gates 说密码将消失,未来是智能卡(Smart Card)和 64 位天下。
Bill Gates 说身份识别(Identity)管理是造成 IT 系统复杂的一个重要根源, 有很多人试图使用各种办法突破身份识别系统。
如果有一个恰当配置的识别系统,即能够验证用户,并且能够有效防止 phishing(诱骗窃取身份) 问题的发生。同时,他宣称,密码是身份识别系统的一个主要的弱项,以后并不能完全依靠密码来保证系统的安全。
那什么是密码的替代品呢? 一个基于 RFID 的数字身份或生物特征,微软正向生物测定学和智能卡方向前进,并促使其用户使用这些技术。
智能卡其实已经在微软总部 Redmond 使用,每个员工都可使用同一个 Smart Card 在进出各个办公楼层,或访问机器,已经完全替代了密码。
大家也可能注意到了,在最新的微软的硬件中,有一款键盘和一款鼠标已经开始支持指纹识别了,这也算是一个具体行动,虽然价格稍贵(>500 RMB),但对于重要的商业应用来说,感觉价格也还可以,我曾经见过有厂商向银行推销指纹识别设备用于柜员认证,约 2000 RMB,而且说是从以前都卖 3000 RMB,对大客户才降价的。
查看:Silicon 消息全文
Bill的言论有点超前,从智能卡营销的角度看可以理解。
按照密码学基础理论来讲,没有破译不了的密码。
从唯物主义出发,现实社会中也没有绝对打不开的门。
关键是看成本与效益,目前来讲智能卡只在MS应用领域有市场;RFID成本太高,只有老美打仗用的起;而生物特征更加昂贵,看来只有RSA算法,MD5来的节约和有效。
现在智能卡到处在用,怎么会局限在 MS 领域呢?电卡、煤气卡,公交一卡通都是 SmartCard ,就北京落后一些,深圳等城市都用了好多年了。生物特征也是到处在用,天天指纹打卡,学车的时候还要录指纹呢。
只要用起来,RFID 成本很低的,IBM 开发大会上还讲 RFID ,你这个家伙就知道唱反调,回去后你们自己内部先统一意见再说 😀
RFID,一种基于射频识别的技术,我实在想不出它跟密码或身份识别有何关系,当然它能够记录相关人员的具体操作,但这都是属于事后验证,也许该危险操作已造成无可挽回的损失。目前,RFID在生产、供应链、物流分配领域有着很好的应用和解决方案,请指教其在替代密码使用上具体应用。
SmartCard恕我无知,只是从心里腻味微软的东西,RFID在金融或国防系统领域也许相对来说成本低,但决不是很低,我并不是唱反调,只是想让大家看看不同的观点,一言堂就没意思了。
原来IC卡也是智能卡的一种,看来得补补课了,不知道我理解的对不对?
现在RFID很热,大家都在谈,IBM当然也不例外,其应用的市场份额也很大,关键在于成本与产出,IT冷热这么多年,大家都认识到应该走出应用模式的误区而进入到盈利模式,等什么时候IBM自己的物流分配使用了RFID,那么它就真正进入到盈利模式,确实能够给企业带来效益。这时,买IBM的RFID应用产品准没错。
就好像Oracle公司使用自己数据库开发出来的ERP一样。
学车时指纹识别我可领教了,手指不能太热也不能太干,位置必需正好,它只是生物识别中最最低端的技术,成本不高吗?我看不见得,你可问问驾校这样一台设备要多少钱,如何成本低又好用,银行早就推广了,至少也该让贵宾户使用。
生物识别技术的高级应用我只在Mission Impossible这类影片中领教,现实中还没有接触到,也需银行工作的你可以接触到,帮我问问价?
智能卡其实已经在微软总部 Redmond 使用,每个员工都可使用同一个 Smart Card 在进出各个办公楼层,或访问机器,已经完全替代了密码。
——在微软中国也已经是这样了。
我已经被moslem搞糊涂了,本主题应该围绕密码的替代品应用展开,“电卡、煤气卡,公交一卡通都是 SmartCard ,就北京落后一些,深圳等城市都用了好多年了。”这些跟密码有关系吗?只是利用了卡芯片能够储存一定信息而已,设想如果smartcard替代了密码,如果被窃,岂不是赔了夫人有折兵(补卡花钱,卡上信息被利用又有损失)
这里想想强调一下,不要太迷信Gates的言论,他现在只是一个成功的商人而已。
同意IceShark的观点“未来应该是生物特征的”,但这个未来有多远?大家自有公论。
”智能卡其实已经在微软总部 Redmond 使用,每个员工都可使用同一个 Smart Card 在进出各个办公楼层,或访问机器,已经完全替代了密码。
“这点小应用就能推动公众使用智能卡,完全替代密码吗?
我看这只是MS的一厢情愿吧!(智能卡一旦被窃,岂不是畅通无阻了吗,TerminatorII就有这样的情节,天网也是这样被摧毁的)
我看软件(密码、安全分级、加密算法等)硬件(智能卡、生物特征)结合使用才是正途,谁也替代不了谁!:)
答Muslem“电卡、煤气卡,公交一卡通都是 SmartCard“
请问这些SmartCard如何充值?
老弟你用的这些SmartCard是不是去银行输入密码充值的?
如果让你再使用银行提供的SmartCard(如果有的话)验证、蓄费,这么多卡你会不会疯掉!
当然一卡多用是一个理想状态,但是卡丢了怎么办?多个部门如何协调?一想我就头大!
正好在右边广告上看到
Goooooogle 提供的广告
世纪潮新型远距离射频技术
可同时读取多张识别卡/识别无方向性 读卡距离≮9m/快速识别≦100km/h目标
还有,哪款鼠标键盘支持指纹识别?
我认为单纯使用密码和Smart Card 都不够安全,我做的系统是采用Smart Card 和密码共同验证的。
密码容易被破解,Smart Card容易被盗
google广告似乎跟页面内容相关?
他们的text mining做得不错嘛
"世纪潮新型远距离射频技术
可同时读取多张识别卡/识别无方向性 读卡距离≮9m/快速识别≦100km/h目标 "
固然好,关键是成本和效益!
方便是方便了,卡一丢,方便窃贼了,昨我看了社会记录,现在公安都用数码摄像机抓小偷了,而且补卡的成本也远远大于更改密码的成本。
还是那句话,QFID现在只有老美玩的起。(QFID的成本主要来自无线读卡器,未来当然有降价的空间和趋势,但未来有多远呢?)
密码也许永远无法消失,还记得电影“永不消失的电波吗”。
从哲学上讲,就好像物质与精神缺一不可,太极有阴阳。加密软件与硬件是相辅相成的。
我相信在不久的将来,Gates又会发表“Password is not dead”的言论,尤其是当MS在密码软件应用或身份验证软件应用领域占有绝对垄断地位时。
这只是吸引大众眼球的噱头而已。还记得张朝阳裸照事件和潘石屹做秀,商人推销自己公司有很多种方法,危言耸听也是一种!
智能卡上可以存储数字证书,数字证书可以用来进行身份识别
RFID 也可以用来读取相应载体上的数字证书,这就是 RFID 和 SmartCard 可以用于身份识别的原因。
智能卡上可以加 PIN 保护的,所以捡着卡,并不等于就能用。
PIN 和密码有什么区别?
只不过是number而已
可以理解为智能卡依赖密码(PIN)来实现自我保护,那密码消亡了吗?我觉得只会出现SmartCard is dead的情况,而不会出现The Password is dead的情况。
我终于明白点基于QFID的身份识别应用了,QFID最重要的特点在于方便识别,但是从安全角度讲其级别是最低的,因为一旦丢失载体,就会轻松闯关。因此有必要结合其它技术如智能卡的使用,而智能卡若丢失,则需要PIN来保护,也就是说智能卡若想正常使用必需先激活PIN密码,然后由QFID自动读取其存储的数字证书,通过身份验证,各位看官是不是看的有的烦,费用不说,也失去了QFID的快速方便的初衷了。
因此没有万无一失的识别技术,只能从各方便加以权衡,综合成本与效益,结合使用。
看来Gates大谈特谈SmartCard这回又要失算了。
我也明白了微软为什么在身份识别上提到QFID,无非是为了推销SmartCard,其实QFID最大的好处在于供应链和物流分配领域的应用,在未来随着无线读卡器的成本的降低以及生物芯片技术的发展,我们在超市中就可能看不到条型码了,因为每件商品上都有生物芯片,存有商品的各类基本信息,通过QFID应用会自动算出顾客消费商品的总值,各类消费信息也会自动存入数据库。
啊,太超前了,未来就是这个样子!所谓的SmartCard最终会被生物芯片代替。
Me says"SmartCard is dying"
补充一下,何为PIN?
电信解释:
PIN码是SIM卡(手机的用户识别卡)的个人识别密码。为防止他人盗用SIM卡,用户每次将手机接通电源时,屏幕会显示出要求用户输入4至8位的PIN码。
OK,我就拿着智能卡,在目前的Windows XP上,你可以直接插入我的智能卡(当然,还必须是我的电脑,因为需要绑定一下),然后还要输入一个PIN.
所以你捡到我的卡并不管用的.
智能卡就不会被破解吗?我看未必,MS的XBOX都可以被破解,DVD也可以被破解,为什么SmartCard不能,原因只可能是一个(本人瞎猜的):
其市场号召力太小,用的少自然没人理呀!
本人观点有点偏激,若能从技术角度解释智能卡不可破解的原因清明示!
这个世界上不存在任何无法破解的东西,所需要的只是时间及精力.
而单纯使用密码,并不是所有的人都会那么在意密码的复杂性,请注意,很多(对不起,我找不到具体统计数字)针对Windows(也有Linux)的攻击均是使用暴力方式破解的.
比如我前段时间提到在第七日上,有人的工行网上银行的存款被转走,就是因为卡的主人把密码设成六个"6",使用简单的字典就可以破解掉此密码.
人的惰性是无法改变的.所以Windows Server 2003在组策略中增加了密码复杂度的要求,但很多企业为了"方便",仍然要禁用此策略.可见,"安全"及"方便"有时候是有冲突的.
看过CA的一个广告片,讲到安全,那哥们的电脑开始用血液来验证身份,每次开机,很恐怖的拿把刀来割手指提供血液,后来用毛发来验证身份,随后镜头一转,这人变成了秃头,他不得不把手伸入了裤子中(有些三级).
指纹识别也危险,如果某银行的保险柜使用你的指纹做密码,那么小心某一天你的手不保,变成残疾人士,很多美国大片中已经有类似镜头.用虹膜有同样的麻烦.
所以这个世界上没有无法破解的东西,正如这个宇宙的秘密最终会被人类揭开一样,所需要的只是时间及精力.而我们的作法只能是增加这种复杂性,当然成本越小越好.
So,你会有什么更高明的加密方法?
智能卡不能破解的原因是因为在目前的运算速度上,分解1024位的大数需要数十年的时间或者需要数万台的机器
在统计学上,小概率事件虽然不是不可能事件,但在一次试验中出现的可能性很小,不出现的可能性很大,以至于实际上可以看成是不可能发生的。
根据原子跃迁,任何事物都可能消失,或者出现在另外一个地方,当然概率几乎无限小了。银河系漫游指南(SF)中提到了一个概率驱动飞船,有兴趣可以看看。
如果仅从外部着手,当然短时间无法突破智能卡的保护。
但是除了暴力破解外(XBOX的破解就是通过准确地焊接绕过安全认证芯片实现),较取巧的方法还有:
1.安装隐蔽摄像头,记录其对键盘操作
2.偷得智能卡与本本
当然这只是旁门左道之法,古人的“防君子不防小人”正是此理。
因此智能卡也只是处于与密码同级的加密措施。
身份识别较好的发展方向我个人认为是在语音分析,因为没有一个人的声调是相同的,可通过计算机智能的提出问题,通过语言加以回答,声调必须一致,答案也需一致,当然碰上哑巴或弱智就没招了。
总之,生物特征才是未来加密和身份识别的发展方向,向开心就好提到的残疾人士当然会配备专用设备,霍金就是一例,但是安全级别高的设备会放心让这些人使用吗?再说生物特征多种多样,真正的安全控制是分级的,不可能只控制在一个人手中,如果只有一个人掌握,那万一该人有个闪失,岂不是安全过了头,没人可以打开了?
使用语音一样有问题:
1.别人录下来你的声音,呵呵,当然,这部分想加强也容易;
2."声调必须一致",小心吧,你后有强盗追着,到了家门,还要回答他的话,然后声音变颤了,没有办法,系统就不让你进门.
任何事情都有两面性.仅就目前来看,Smart Card是比较可取的部分.
身份认证的本质问题在于你知道什么,你有什么,你是什么。密码和PIN码是你知道什么;SmartCard和SecureID是你有什么;指纹和RFID则适用于你是什么。这三者有两者就可以称之为双因素认证,这是高级安全防范措施的必备方法。因此这三种类型之间是并不冲突的,不存在某种方式取代另一种的问题。顶多是复杂难记的密码被简单的PIN码替代,而把风险转移到相对易于使用的 SmartCard 等其他认证手段上。感觉发表这个说法的bill明显缺乏安全相关背景知识的了解 :S
加密算法很容易做到m个人中必须有n个人到场才能打开
正好在右边广告上看到
Goooooogle 提供的广告
世纪潮新型远距离射频技术
可同时读取多张识别卡/识别无方向性 读卡距离≮9m/快速识别≦100km/h目标
请问这些SmartCard如何充值?
在统计学上,小概率事件虽然不是不可能事件,但在一次试验中出现的可能性很小,不出现的可能性很大,以至于实际上可以看成是不可能发生的。