密码即将消亡,真的假的?

2018-08-13 10:53:35 浏览数 (1)

保护敏感私人信息的安全,防止他人对其的窥视,并不仅仅是一个现代的理念,这是我们几个世纪以来一直在表现的一种行为。从根本上来说,只要我们一直试图保护信息安全,那我们就一直在使用“密码”。

早在公元前700年,斯巴达军队就在战争期间使用加密的密码棒来发送敏感信件。将时间快进到二十世纪,纳粹德国人在使用恩尼格玛密码机来进行编码通信。第一个计算机密码被认为是麻省理工学院在1961年开发的,尽管当时的大多数人从未见过计算机。

虽然可靠的密码在历史上得到了应用,但如今大家已经预言它的衰落有一段时间了。实际上,密码的消亡已经讨论十多年了。2004年,微软主席比尔盖茨预言了密码的消亡,并在2006年继续这样做,声称密码的消亡即将到来。

我们的密码有什么问题?

密码关键参数的选择关系到安全性和便利性 —— 随着在线应用程序的暴增,现在密码充斥着我们生活的方方面面。记住一打的密码是不现实的,存储这些密码也会带来麻烦,并且手动管理这些密码也会很麻烦。

随着知名的安全漏洞问题牵扯到被盗取的身份,此外还有对金融机构的攻击也涉及到了这块,毫无疑问,关于密码替代方案的讨论会引起人们的兴趣。这些安全漏洞也确实引发了关于密码替代方案的讨论,并提出了一个关键问题:如果密码的丧钟响起,我们是否有可行的替代方案?

替代方案

生物特征认证,虹膜认证,面部认证,多形式的多因素认证,甚至通过手表,珠宝和电子纹身等设备的认证都在讨论中。在iPhone 5s上作为关键功能亮相的Touch ID成为消费者通过设备进行验证的一种现实的方案。

令人担忧的是,这些替代认证方案中的一些甚至在它们被广泛采用之前就已经被破解了。几年前,一群研究人员通过使用伪造自合法用户的虚假照片攻破面部生物识别认证系统。

因此,虽然我们未来仍可能获得传统密码的可行替代方案,但事实上,关于密码即将消亡的预言在很大程度上尚未实现。密码仍然是迄今为止最出色的身份验证方法,这主要是由于替代方案的可行性较低,这些方法大多数都很昂贵,需要额外的硬件组件,难以在现有环境中集成,或者不易于使用。

如果密码不是问题,那么问题是什么?

在针对密码的不断的公开恶意中伤中,我们忽略了实际问题,即糟糕的密码管理策略。由于无法记住密码,用户倾向于到处使用并重用简单密码。他们将密码存储在文本文件和便利贴中, 在团队成员之间分享凭据, 并通过电子邮件或口头来传递它们。企业IT资源的密码通常存储在电子表格、文本文件、本地工具中,甚至存储在物理保险库中。需要处理数以千计的特权密码的IT部门在对密码的处理中违背了准则,这些密码被用于“共享”环境。对实际访问的权限控制并不不存在,敏感资源和应用程序的密码的长期不变,像这样的糟糕的密码管理实践会引发安全问题和其他问题。

网络罪犯采用大量的技术,并且他们的攻击模式不断发展,其中之一是使用包括垃圾邮件、网络钓鱼邮件、按键监控记录程序和远程访问特洛伊木马(RAT)程序在内的技术,来获取员工的登录凭据和IT资源的管理密码。一旦员工的登录凭证或敏感IT资源的管理密码泄露,该机构就很容易受到攻击。犯罪分子可以启动未经授权的线上转账,查看客户的交易,下载客户信息或进行破坏。

需要注意的是 ——黑客并不总是来自外部。需要重点考虑的是来源于内部破坏的新威胁 —— 由心怀不满的员工、被解雇的员工或企业“机会主义者”引起。任何能够访问特权密码—— “王国的钥匙” ——的人无论是有意还是无意,都可以滥用它们。

那么答案是什么?

鉴于最近的攻击趋势,对内部控制的支持具有特殊意义。对IT资源的访问应严格基于工作角色和职责,并辅以明确的路径,以表明“谁”访问“什么”和“何时”访问。同样,应该规范密码共享,并且应该建立完善的工作流程来发布敏感资源的密码。应强制执行标准密码管理策略,包括使用加强密码和频繁轮换策略。

最重要的是保持警惕。很多安全事件的发生都是因为内部管理的松懈 ——虽然密码经常受到滥用的影响,但真正糟糕的密码管理策略才是罪魁祸首。

网络安全安全存储安全漏洞网络安全安全存储安全漏洞

0 人点赞