密码学/身份验证可用性研究进展

Question

我想知道，在密码学和/或身份验证方面，人类可用性是否最近有任何进展(例如，过去5-10年)？

我的意思是让普通人更容易利用密码学的好处。我突然想到，虽然我们有这些伟大的加密和哈希算法，而且它们在机器对机器的通信中有广泛的应用，但我们人类仍然很难使用密码学，因为这些方法和大多数人的大脑工作方式之间存在阻抗不匹配。

(我唯一能想到的就是OpenID或类似的东西，即一种在不损害安全性的情况下将身份验证过程与使用点分离开来的方法，这样就可以将一种身份验证方法用于许多最终用途。)

如果这样做不合情理，请举几个例子：

我刚刚读了O‘Reilly著“网络安全、隐私和商业” (2002年版)，并且读到了关于PGP的文章，我想知道为什么在20年后，它或类似的东西仍然没有被广泛使用。

我还想知道为什么我使用的所谓的安全网站(金融/医疗)，仍然使用密码访问，并仍然有“安全问题”，以防我忘记了我的密码，那里的安全问题不是很安全。

Answer 1

这是一个活跃的研究领域。已经有人尝试创建可用的安全工具，并对现有工具进行了大量的用户研究(通常具有重要的结果)。

一个很好的工作在这方面的工作(几岁，现在)是安全性和可用性编辑洛里克兰诺和西姆森加芬克尔。

每年都有一个叫做实用隐私和安全专题讨论会的研讨会，里面有很多论文。然而，最好的可用安全文件往往出现在顶级安全会议(Oakland、Usenix Security和CCS)上。

Answer 2

密码学已经成为很多地方了，人们可能已经知道了。例如，每当您访问HTTPS页面时，这就是保护您的密码学。

对于桌面应用程序，许多人使用Truecrypt应用程序来保护他们的文件。您还可以在Windows中看到类似的应用程序。

至于为什么更多的人不使用密码应用程序，我想说的是，大多数人根本不关心也不意识到他们处于危险之中。许多人相信，“为什么会有人来攻击我？”所以不能保护自己。

安全性总是次要于性能，因为如果应用程序不是一个好的执行者，就没有人会使用它。因此，安全通常不仅是次要的，有时甚至是不存在的。

Answer 3

在投票方案中，有一个三票制，如果你能把它看作密码的一部分(我知道)。