有些人认为不能再使用密码了,原因显而易见:密码不能保护用户,因为密码很容易被破解;所有关于如何使密码更安全的谈论都忽略了一个显而易见的事实:密码根本无法变得更安全;此外,还有其他更好的身份验证方式,例如生物识别技术,毕竟其他人没有你的指纹、眼膜和DNA。
但也有人说没有那么快,生物识别技术还没有经过反复验证,如果用户没有设置太简单的密码,如果密码身份验证系统得到改善,密码仍然行之有效。
See-Thru首席技术官兼莫瑟尔学院教员Christopher Frenz表示,“问题在于不是因为密码已经过时,而是因为糟糕密码和糟糕的密码做法的广泛存在”。他指出了2009年社交网站RockYou遭受SQL注入攻击导致3200万用户账户密码被泄露的事实,该网站唯一的密码安全要求是密码必须由至少5个字符组成,这导致很多人选择使用12345、Password、rockyou、abc123以及常见单词作为密码。此外,该网站的密码以及用户的邮箱地址都以纯文本格式存储。
一些网站(其中包括Hotmail)现在要求使用更复杂的密码,且密码必须由多种字符类型组成。对于高强度密码,用户很难记住,特别是当用户需要记住几十个不同网站密码时。但是他认为解决这个问题的方法就是使用较长的密码,他鼓励用户使用短语而不是由字母和数字随机组成的短密码。这样做能够提供更高的安全性,同时更容易让用户记住。
英国BBC电视信息安全官Owain Rees同意他的说法:“提高密码安全性的唯一方法是尽量使用较长的密码。在大多数情况下,与短而复杂的密码相比,一个很长而简单的密码更难被破解。”
新加坡ShieldPass的经理Matthew Walker表示,即使这样还是远远不够的。目前IT管理员都趋向于要求用户提高密码的复杂性,并定期修改密码,这使管理网上密码的工作变得非常繁琐,但这也在一定程度上打压了专门拦截和复制密码的恶意软件。
Walker则认为,要求用户使用复杂密码,然后提供一个“忘记密码?”的链接来向用户电子邮箱发送一个临时密码,而这个临时密码可能是低强度密码。但这种OTP(一次性密码)已经不再安全,一次性密码很容易遭受中间人攻击和浏览器的中间人攻击,比例向用户浏览器注入代码的Spyeye和Zeus攻击。
由于大多数身份盗窃的受害者都是集体用户,例如数据库遭受攻击的网站的整个用户群,加强密码安全性的压力应该更多的落在系统管理员身上。Walker说,如时通过定时锁定来管理身份验证会话,追踪IP地址,创建密码时使用更先进的密码复杂度分析,都能够从本质上提高最终用户的安全。
Rees表示,部分问题在于用户可能希望除密码外更多的验证方式,密码应该成为分层安全防御的一部分。他将密码比作汽车的锁,这并不意味着小偷不会敲碎玻璃然后爬进汽车。只不过汽车锁制造了一个障碍。所以汽车还应该配备一个防盗报警器和电子防盗系统。同样的,计算机安全还应该增加其他元素,例如入侵防御系统、防火墙和数据加密。
从以上可以看出,这三名安全专家一致认为包括生物识别技术的“三因素身份验证”将不会提高安全性,甚至有可能使情况变得更糟。
【编辑推荐】