如何保護的移動密碼安全應(yīng)該注意你的設(shè)備

你知道黑客竊取了你的哪些密碼嗎？如果你不知道，那么你可以隨時使用這個網(wǎng)站https://haveibeenpwned.com/來查查。總之，你可能更清楚地記得的是你丟失手機的次數(shù)，而不是你被黑的次數(shù)。

這就是Rivetz首席執(zhí)行官Steven Sprague于2月26日在MWC Barcelona展會（以前稱為MWC，即世界移動通信大會）上提出的安全論點背后的原因：我們應(yīng)該相信人們要密切留意是他們的設(shè)備，而不是他們的密碼。

多年來，硬件制造商建立了所謂的可信執(zhí)行環(huán)境（TEE），它們是處理器中隔離出來的一個部分，旨在防止日常應(yīng)用程序或程序訪問我們最敏感的信息。英特爾提供了SGX，ARM提供了Trustzone。荷蘭特文特大學的Roland van Rijswijk-Deij說：“這是很有用的功能。理論上，TEE可以防止‘正?！?a href="http://wenjunhu.com/v/tag/527/" target="_blank">操作系統(tǒng)上的應(yīng)用程序獲得憑據(jù)訪問權(quán)?！?/p>

為了取代傳統(tǒng)密碼，Sprague的初創(chuàng)公司將用戶的一個私鑰放入TEE，另一個放入用戶的SIM卡。這意味著使用這兩個密鑰加密的任何消息都必須來自擁有該設(shè)備及其在移動網(wǎng)絡(luò)運營商的活動帳戶的發(fā)送者。

這使得信息非?？尚拧?，銀行可以更加確信信息來自其客戶，而不是來自黑客。而且，這些消息可以存儲在一個區(qū)塊鏈上，以證實消息是在該硬件的安全空間中創(chuàng)建的，且消息自創(chuàng)建以來沒有發(fā)生過任何事情。

這種可靠性使得該服務(wù)對Civic等合作伙伴很具有吸引力。Civic正在使用Rivetz的技術(shù)，讓客戶選擇他們希望向在線企業(yè)透露他們身份的哪些部分（比如他們的年齡），而不需要提供任何不必要的信息。

將SIM卡包含在解決方案內(nèi)，可以讓你的運營商提供另一種便捷的服務(wù)：如果你的設(shè)備丟失了，那么你可以聯(lián)系你的運營商，通過其他可信設(shè)備向他們核實你的身份，并遠程阻止丟失的設(shè)備。與將信用卡報失時不同，如果你以后重新得到該設(shè)備，那么你可以利用其他那些受信任設(shè)備之一重新激活它。

Sprague在演講中說：“我們是一個設(shè)備集合，不是其中任何一個設(shè)備。”

但是，與任何涉及TEE的功能一樣，Rivetz技術(shù)僅適用于某些設(shè)備。目前，Rivetz提供的軟件位于硬件和第三方通過軟件開發(fā)套件編寫的應(yīng)用程序之間，僅能運行在某些版本的Android操作系統(tǒng)上。這意味著，如果你沒有兼容的設(shè)備，則無法從其他設(shè)備（例如工作用計算機或朋友的手機）登錄受Rivetz保護的應(yīng)用程序。

對于普通用戶來說，核實給定的TEE是否真的安全，也不是一件很容易的事。van Rijswijk-Deij說：“TEE可能是一種完全安全的設(shè)計，但用戶很難去證實。實際上，你將不得不相信（制造商的）安全聲明，這可能是公平的：信任必須從某個地方開始?！?/p>

Sprague說這些是值得做的權(quán)衡，銀行和其他機構(gòu)早就應(yīng)該這么做了，而不是聚焦于涉及用戶名和密碼的系統(tǒng)（以便任何人可以從任何設(shè)備登錄）。他告訴IEEE Spectrum說：“這不是關(guān)于人的身份的問題，這是關(guān)于物的身份的問題。”