我想知道人类在密码学和/或身份验证的可用性方面是否有任何最新进展(例如,过去的5-10年)?

我的意思是使普通人更容易利用密码学的好处。令我惊讶的是,尽管我们拥有所有出色的加密和哈希算法,并且它们在机器对机器通信中得到了广泛应用,但对于人类而言,仍然很难使用加密技术,因为这些方法与加密算法之间存在阻抗不匹配的情况。

(我唯一能想到的就是OpenID或类似的东西,即一种在不影响安全性的情况下将身份验证过程与使用点分离的方法,以便一种身份验证方法可以用于多种最终用途。)

一些例子,如果这没有意义,那么: “安全性,隐私权和商业”(2002年版),并且正在阅读有关PGP的信息,想知道为什么20多年来它仍未得到广泛使用。为什么我使用的所谓安全网站(金融/医疗保健)仍然使用密码访问并且仍然存在“安全问题”,以防我在安全性问题不太安全的地方获取我的密码。

评论

这似乎是迁移到security.stackexchange.com
的一个不错的选择。
嗯,我想是...关于meta的讨论?
确实。您击败了我:如何在Cryptography.SE和Security.SE之间做出选择? -Crypto Meta-堆栈交换

#1 楼

这是一个活跃的研究领域。已经尝试创建可用的安全工具,并且对现有工具进行了许多用户研究(通常会得出重要结果)。

安全和可用性由Lorrie Cranor和Simson Garfinkel编辑。

每年还会有一个名为“可用隐私和安全性(SOUPS)研讨会”的研讨会,论文很多。但是,最佳可用的安全性文件往往会出现在顶级安全性会议(奥克兰,Usenix安全性和CCS)上。

#2 楼

密码学已经存在很多地方,人们可能只是对此有所了解。例如,每当您访问HTTPS页面时,这就是加密技术在保护您。

对于桌面应用程序,许多人使用Truecrypt应用程序来保护其文件。您还可以在Windows BitLocker中看到一个类似的应用程序。

关于为什么更多的人不使用加密应用程序的原因,我建议大多数人根本不在乎也不意识到它们有危险。许多人相信:“为什么有人会打扰我?”

安全性始终是性能的第二要务,因为如果应用程序的性能不好,则没人会使用它。因此,安全通常不仅是次要的,有时甚至是次要的。

#3 楼

在投票方案中,如果您可以将其视为加密货币的一部分(我愿意),则采用三票制。

评论

$ \ begingroup $
Threeballot非常聪明,但是使密码术可用的示例却非常差。
$ \ endgroup $
– D.W.
2011年8月5日在2:07

#4 楼

密码学的主要弱点在于涉及人员。


我也想知道为什么我使用的所谓安全网站(金融/医疗保健)仍然使用密码访问,并且在我忘记密码的情况下仍然存在“安全性问题”,安全问题不是很安全。


还有更安全的方案,但是它们要花钱。使用“安全性问题”可以使事情看起来好像没有做就在做。

认证的三个主要食物类别是:


您知道的一些东西(密码和所谓的“安全性问题”)。
您拥有的东西(如SecurID或在线游戏中使用的令牌)。
您所需要的东西(生物计量学-例如视网膜扫描或指纹)。

代币每个花费几美元,因此,除非政府高举枪支,否则银行不会花这笔钱。尽管北欧国家/地区的银行已经提出了一种非常经济有效的替代方案-登录时具有刮擦区域且在每个刮擦区域下方的邮寄卡是登录时使用的唯一编号。

在美国,金融机构将密码与“安全问题”方案一起使用,因为监管机构声称这样做足够好。由于存在监管限制,因此无法在美国解决此安全问题。

评论

$ \ begingroup $
任何事情的主要弱点在于人的参与。
$ \ endgroup $
–起搏器
2014年6月4日17:53

#5 楼

从电子邮件到蜂窝通信,从安全的Web访问到数字现金,加密是当今信息系统的重要组成部分。密码术有助于提供责任,公正性,准确性和机密性。

密码学可以防止电子商务中的欺诈,并确保金融交易的有效性。它可以证明您的身份或保护您的匿名性。它可以防止破坏者更改您的网页,并阻止行业竞争对手阅读您的机密文档。将来,随着商业和通信继续向计算机网络转移,密码学将变得越来越重要。

#6 楼

对于某些您知道的身份验证,使用更强力的加密技术将人“记住”起来的一种方法是使用确定性算法,该算法从该秘密中生成一个公钥对。我们为平台产品定义了一种这样的方案,作为身份验证的一种方式。

折衷方案是用户必须愿意记住一个非常复杂且完全随机的密码,范围为16个字符(以防止暴力破解关键攻击)。但是,一旦进行了投资,只需对输入密码进行细微更改即可轻松生成不同的身份。密码从不传输也不存储在服务器上,从而消除了某些类型的攻击,并且用户可以在不依赖任何集中身份管理器的情况下跨多个域进行身份验证。一组输入参数中的一个1024位RSA身份(需要Versile Python):

>>> from versile.quick import *
>>> purpose, personal = 'mail', 'johndoe'
>>> pwd = 'kW4mcpF9qzaAp4hw'
>>> identity = VCrypto.lazy().dia(1024, purpose, personal, pwd)
>>> print(VX509Crypto.export_private_key(identity))
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
>>>