设备间流动的安全性探讨

关键要点

丹佛设备间流动是一种神奇的三方互动，让你可以通过扫描二维码租用滑板车，或者在电视上登录Netflix时输入笔记本电脑中的代码。一个设备登录服务并提供第三方系统的信息以形成信任圈。

然而，正如微软的皮特卡斯尔曼在周五的Identiverse会议上指出，流程中的一个步骤存在安全缺陷。2022年Identiverse会议由SC媒体的母公司Cyber Risk Alliance主办，刚刚在丹佛结束。

设备间流动有很多好处。例如，扫描二维码比在滑板车上输入密码要简单得多。问题在于，尽管电视与滑板车共享服务之间的连接非常安全，手机应用扫描代码与服务之间的连接也很安全，但扫描二维码的人容易受到社会工程攻击的影响。如果调换了一些二维码，旁边的停车位的人可能会支付你的账单。人的决策能力仍是系统中的薄弱环节。

点击这里查看SC媒体对Identiverse会议的更多报道

卡斯尔曼说道：“我们如何帮助用户做更少的决策？我们如何帮助他们做出更好的决策，因为他们需要做决策，同时也要在做出错误决策时给予他们帮助？我们该如何保护他们？因为只要我们人类存在，就必须考虑到失败的案例。”

卡斯尔曼表示，有很多潜在的解决方案。其中之一是验证二维码或笔记本电脑与滑板车或显示Netflix的电视之间的接近性。另一个是过滤在垃圾邮件中使用的访问信息。第三个是要求使用可信设备或更强大的系统来验证滑板车或电视的身份。

最后，他提到，现在有趣的研究正在重新构建这种三方系统，以实现更安全的方式。

“我们真正想做的，是开始描述这些已知攻击，发布最佳实践文献，同时探索设备间协议的概念。进一步探索这个想法，并与研究人员合作。因此，这也是对在场人士或可能观看此录音的任何人的呼吁。我们寻求帮助。”卡斯尔曼表示。