密码即将消亡,真的假的?

保护敏感私人信息的安全,防止他人对其的窥视,并不仅仅是一个现代的理念,这是我们几个世纪以来一直在表现的一种行为。从根本上来说,只要我们一直试图保护信息安全,那我们就一直在使用“密码”。

早在公元前700年,斯巴达军队就在战争期间使用加密的密码棒来发送敏感信件。将时间快进到二十世纪,纳粹德国人在使用恩尼格玛密码机来进行编码通信。第一个计算机密码被认为是麻省理工学院在1961年开发的,尽管当时的大多数人从未见过计算机。

虽然可靠的密码在历史上得到了应用,但如今大家已经预言它的衰落有一段时间了。实际上,密码的消亡已经讨论十多年了。2004年,微软主席比尔盖茨预言了密码的消亡,并在2006年继续这样做,声称密码的消亡即将到来

我们的密码有什么问题?

密码关键参数的选择关系到安全性和便利性 —— 随着在线应用程序的暴增,现在密码充斥着我们生活的方方面面。记住一打的密码是不现实的,存储这些密码也会带来麻烦,并且手动管理这些密码也会很麻烦。

随着知名的安全漏洞问题牵扯到被盗取的身份,此外还有对金融机构的攻击也涉及到了这块,毫无疑问,关于密码替代方案的讨论会引起人们的兴趣。这些安全漏洞也确实引发了关于密码替代方案的讨论,并提出了一个关键问题:如果密码的丧钟响起,我们是否有可行的替代方案?

替代方案

生物特征认证,虹膜认证,面部认证,多形式的多因素认证,甚至通过手表,珠宝和电子纹身等设备的认证都在讨论中。在iPhone 5s上作为关键功能亮相的Touch ID成为消费者通过设备进行验证的一种现实的方案。

令人担忧的是,这些替代认证方案中的一些甚至在它们被广泛采用之前就已经被破解了。几年前,一群研究人员通过使用伪造自合法用户的虚假照片攻破面部生物识别认证系统

因此,虽然我们未来仍可能获得传统密码的可行替代方案,但事实上,关于密码即将消亡的预言在很大程度上尚未实现。密码仍然是迄今为止最出色的身份验证方法,这主要是由于替代方案的可行性较低,这些方法大多数都很昂贵,需要额外的硬件组件,难以在现有环境中集成,或者不易于使用。

如果密码不是问题,那么问题是什么?

在针对密码的不断的公开恶意中伤中,我们忽略了实际问题,即糟糕的密码管理策略。由于无法记住密码,用户倾向于到处使用并重用简单密码。他们将密码存储在文本文件和便利贴中, 在团队成员之间分享凭据, 并通过电子邮件或口头来传递它们。企业IT资源的密码通常存储在电子表格、文本文件、本地工具中,甚至存储在物理保险库中。需要处理数以千计的特权密码的IT部门在对密码的处理中违背了准则,这些密码被用于“共享”环境。对实际访问的权限控制并不不存在,敏感资源和应用程序的密码的长期不变,像这样的糟糕的密码管理实践会引发安全问题和其他问题。

网络罪犯采用大量的技术,并且他们的攻击模式不断发展,其中之一是使用包括垃圾邮件、网络钓鱼邮件、按键监控记录程序和远程访问特洛伊木马(RAT)程序在内的技术,来获取员工的登录凭据和IT资源的管理密码。一旦员工的登录凭证或敏感IT资源的管理密码泄露,该机构就很容易受到攻击。犯罪分子可以启动未经授权的线上转账,查看客户的交易,下载客户信息或进行破坏。

需要注意的是 ——黑客并不总是来自外部。需要重点考虑的是来源于内部破坏的新威胁 —— 由心怀不满的员工、被解雇的员工或企业“机会主义者”引起。任何能够访问特权密码—— “王国的钥匙” ——的人无论是有意还是无意,都可以滥用它们。

那么答案是什么?

鉴于最近的攻击趋势,对内部控制的支持具有特殊意义。对IT资源的访问应严格基于工作角色和职责,并辅以明确的路径,以表明“谁”访问“什么”和“何时”访问。同样,应该规范密码共享,并且应该建立完善的工作流程来发布敏感资源的密码。应强制执行标准密码管理策略,包括使用加强密码和频繁轮换策略。

最重要的是保持警惕。很多安全事件的发生都是因为内部管理的松懈 ——虽然密码经常受到滥用的影响,但真正糟糕的密码管理策略才是罪魁祸首。

本文的版权归 PantaZheng 所有,如需转载请联系作者。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Fred Liang

2018.8.12 每周分享

Google 透明度报告提供相关数据,帮助您了解政府和公司的政策与措施 会对用户的隐私、安全以及信息存取权造成怎样的影响。

882
来自专栏安恒信息

微软警告Windows XP用户:若不升级永遭zero day攻击

据国外《微电脑世界》(PCWorld)杂志网站报道,一直以来,微软都在不停地提醒、劝导和请求用户,在明年该公司对Windows XP的支持结束之前...

3386
来自专栏FreeBuf

说说最近的一个电商网站“钓鱼”案例

在过去的两年里,利用被黑的电商网站对客户的信用卡信息进行钓鱼,这种手法已经非常盛行了。 历史案例 此前我们曾报告过多起案例,黑客在付款页面和支付模块加上了恶意代...

2726
来自专栏农夫安全

Hackerone案例之添加或删除新的非首选付款方式不会触发电子邮件或帐户通知

0x00 前言 ? 原文URL: https://hackerone.com/reports/242964 ? 漏洞很简单,hackerone官方就给回复了一...

3596
来自专栏郭润增的专栏

微信支付:如何打造移动支付时代的高可用收银系统?

移动支付时代,越来越多的人习惯于不带现金出门,许多支付场景只需要掏出手机就能完成。正因为如此,收银系统的可用性问题也越来越重要。如何打造移动支付时代的高可用收银...

1.2K0
来自专栏FreeBuf

安卓曝大漏洞:一条彩信可控制手机,影响95%设备

以色列移动信息安全公司 Zimperium 研究人员 Joshua Drake 在 Android 系统中发现了多处安全漏洞,Android 2.2到5.1的所...

2507
来自专栏企鹅号快讯

简析Linux主要应用领域及范围

Linux操作系统主要有以下三大应用领域: 1. Linux作为企业级服务器的应用 Linux系统可以为企业架构WWW服务器、数据库服务器、负载均衡服务器、邮件...

2448
来自专栏安恒信息

本周热点事件盘点

01 本周热点事件盘点 1.澳大利亚政府发布小型企业网络安全指南 【关键字:企业安全】 近日,澳大利亚政府小型企业与家族企业监察专员组(ASBFEO)发布了小型...

3046
来自专栏安恒信息

“隐私一扫光”安卓手机病毒无所不偷

网络安全中心最近捕获一款安卓手机后门木马,该木马病毒除了会窃取用户短信、通讯录、及手机软、硬件相关的所有信息,还窃取通话录音、邮件、微博、Q...

3076
来自专栏IT大咖说

中国首位IoT领域的GDE:Android Things全解析及展望

2262

扫码关注云+社区

领取腾讯云代金券