2012年,密码真的过时了吗?

安全 数据安全
有些人认为不能再使用密码了,原因显而易见:密码不能保护用户,因为密码很容易被破解;所有关于如何使密码更安全的谈论都忽略了一个显而易见的事实:密码根本无法变得更安全;此外,还有其他更好的身份验证方式,例如生物识别技术,毕竟其他人没有你的指纹、眼膜和DNA。

有些人认为不能再使用密码了,原因显而易见:密码不能保护用户,因为密码很容易被破解;所有关于如何使密码更安全的谈论都忽略了一个显而易见的事实:密码根本无法变得更安全;此外,还有其他更好的身份验证方式,例如生物识别技术,毕竟其他人没有你的指纹、眼膜和DNA。

但也有人说没有那么快,生物识别技术还没有经过反复验证,如果用户没有设置太简单的密码,如果密码身份验证系统得到改善,密码仍然行之有效。

See-Thru首席技术官兼莫瑟尔学院教员Christopher Frenz表示,“问题在于不是因为密码已经过时,而是因为糟糕密码和糟糕的密码做法的广泛存在”。他指出了2009年社交网站RockYou遭受SQL注入攻击导致3200万用户账户密码被泄露的事实,该网站唯一的密码安全要求是密码必须由至少5个字符组成,这导致很多人选择使用12345、Password、rockyou、abc123以及常见单词作为密码。此外,该网站的密码以及用户的邮箱地址都以纯文本格式存储。

一些网站(其中包括Hotmail)现在要求使用更复杂的密码,且密码必须由多种字符类型组成。对于高强度密码,用户很难记住,特别是当用户需要记住几十个不同网站密码时。但是他认为解决这个问题的方法就是使用较长的密码,他鼓励用户使用短语而不是由字母和数字随机组成的短密码。这样做能够提供更高的安全性,同时更容易让用户记住。

英国BBC电视信息安全官Owain Rees同意他的说法:“提高密码安全性的唯一方法是尽量使用较长的密码。在大多数情况下,与短而复杂的密码相比,一个很长而简单的密码更难被破解。”

新加坡ShieldPass的经理Matthew Walker表示,即使这样还是远远不够的。目前IT管理员都趋向于要求用户提高密码的复杂性,并定期修改密码,这使管理网上密码的工作变得非常繁琐,但这也在一定程度上打压了专门拦截和复制密码的恶意软件。

Walker则认为,要求用户使用复杂密码,然后提供一个“忘记密码?”的链接来向用户电子邮箱发送一个临时密码,而这个临时密码可能是低强度密码。但这种OTP(一次性密码)已经不再安全,一次性密码很容易遭受中间人攻击和浏览器的中间人攻击,比例向用户浏览器注入代码的Spyeye和Zeus攻击。

由于大多数身份盗窃的受害者都是集体用户,例如数据库遭受攻击的网站的整个用户群,加强密码安全性的压力应该更多的落在系统管理员身上。Walker说,如时通过定时锁定来管理身份验证会话,追踪IP地址,创建密码时使用更先进的密码复杂度分析,都能够从本质上提高最终用户的安全。

Rees表示,部分问题在于用户可能希望除密码外更多的验证方式,密码应该成为分层安全防御的一部分。他将密码比作汽车的锁,这并不意味着小偷不会敲碎玻璃然后爬进汽车。只不过汽车锁制造了一个障碍。所以汽车还应该配备一个防盗报警器和电子防盗系统。同样的,计算机安全还应该增加其他元素,例如入侵防御系统、防火墙和数据加密。

从以上可以看出,这三名安全专家一致认为包括生物识别技术的“三因素身份验证”将不会提高安全性,甚至有可能使情况变得更糟。
 

【编辑推荐】

  1. CIO需未雨绸缪做好移动设备管理
  2. 微软成功上位“云计算管理平台首选品牌”
  3. 北塔BTCM IT运维集中管理软件年末巨献
  4. Gitblit 0.8.1发布 Java的Git管理工具
  5. 新浪被爆7000万明文密码泄漏
责任编辑:Writer 来源: cnw
相关推荐

2023-09-11 08:00:00

代码审查开发

2019-03-10 16:21:05

大数据深度学习人工智能

2020-12-15 08:16:44

Vite工具系统

2022-05-04 00:13:47

杀伤链威胁建模网络攻击

2021-08-18 15:23:42

SDNSD-WAN软件定义网络

2019-01-07 16:35:58

微软开源Java

2013-07-15 16:55:45

2010-03-03 09:09:53

Android SDK

2021-08-11 07:53:22

数仓维度建模

2016-11-21 12:26:58

编程代码

2020-04-09 15:32:20

数据科学AutoML代智能

2021-02-05 11:08:06

云计算

2017-04-25 10:29:12

数据中心网络堆叠技术

2023-05-24 10:04:48

2012-01-05 14:32:39

新浪微博密码泄露

2021-04-13 15:56:24

JavaPython技术

2010-06-23 09:27:54

Linux

2010-08-13 08:21:11

Windows Pho

2022-03-14 22:51:25

大数据IT企业

2021-01-29 17:07:26

排序算法数组
点赞
收藏

51CTO技术栈公众号