您的位置首页 >互联网资讯 >

密码严重不安全这里有一些更安全的选择

密码是全球范围内验证用户身份的最常用方法,在过去十多年中,密码一直在缓慢地减少。比尔·盖茨在2004年的RSA大会上著名地宣称:“毫无疑问,随着时间的流逝,人们对密码的依赖将越来越少……他们只是在真正想要保护的任何方面都无法应对挑战。”

为了维持可接受的安全标准来保护公司资产和员工,企业需要开始认真考虑如何实现其基于密码的系统的替代方案。

密码的主要问题有两个方面:对于初学者来说,密码并不那么安全。全世界的每家公司都使用它们对用户进行身份验证,以确认他们的真实身份,但是Verizon最近的一项研究表明,大多数黑客利用了脆弱或可猜测的密码。此外,密码很容易被黑客使用各种方法窃取或提取,例如冒充您认识或信任的人以获取登录信息或个人详细信息。

粗心的做法(例如,暴露密码的硬拷贝或数字拷贝)也是导致其遭到破坏的主要原因。下次考虑将工作帐户密码写在纸上并将其粘贴在办公室的办公桌抽屉中时,请考虑一下。

有许多示例说明了密码被盗的漏洞。2017年,在线图片共享社区Imgur因安全协议薄弱而从公司数据库中窃取了大量用户密码时成为头条新闻。这次骇客活动造成170万个帐户遭到入侵。

在2018年,暴露了已嵌入英特尔处理器多年的漏洞,使黑客能够获取设备内存访问和身份验证凭据。甚至在最近,美国研究人员还发现了Zyklon病毒的再循环,Zyklon病毒是一种恶意软件程序,利用Microsoft应用程序中的漏洞窃取密码和其他个人详细信息。清单继续。

问题的第二个方面是,密码要求用户记住大多数帐户的众多字母/数字/字符组合,如果说实话,这是完全不现实的。例如,仅通过对多个帐户重复相同的密码来限制密码的种类,只会增加安全风险。

尽管几乎所有行业和公司仍在使用密码,但是许多替代工具已开始进入我们的日常工作,并且在不远的将来的某一天,它们将完全替换密码。

这是一些最流行的密码替代方案的优缺点,可能适合您的公司,因为所有密码都在使用dodo。

安全令牌

软令牌和硬令牌都提供了合理的安全级别,因为它们要求任何用户在登录时都拥有特定的物品。令牌未连接到网络,而是根据与中央服务器同步的“种子记录”生成一次性密码。当前许多令牌技术甚至不需要用户手动输入密码,而是通过设备的近场通信将其传输到PC或笔记本电脑。

总部位于纽约的Tokenize是在该行业取得进展的一家公司。该产品允许从购买信用卡到解锁计算机,将各种操作和设备同步到一个小的可穿戴式环形令牌。

但是,由于多种原因,令牌对企业提出了严重的后勤挑战。首先,基于令牌的系统的部署成本很高,因为要求每个用户都拥有自己的设备。另外,该方法要求用户在他们想要登录的任何时间都拥有令牌,同时还需要保护他们免于丢失和被盗。

生物识别

生物识别技术是诸如指纹和面部扫描之类的标识符。这种方法在用户中变得越来越流行,例如Apple的Touch ID和Face ID这样的应用程序现在极为普遍。从安全的角度来看,生物识别技术的优势在于该技术基于用户“是”的东西。例如,指纹不能像其他身份验证者一样丢失或被黑。生物识别技术还趋向于提供更好的用户体验,因为许多度量标准都可以快速,轻松地进行身份验证。

许多技术领导者已开始提供可扩展的生物识别解决方案以进行身份​​验证。Microsoft个人计算机Hello Hello现在具有指纹和面部识别选项,并且将来公司将提供更多与该应用程序兼容的设备。

但是,生物识别技术有其缺点。许多常见的生物识别系统仍然存在准确性问题,并且价格可能过高。生物识别技术也容易受到黑客的攻击。日本研究人员去年的发现表明,只需使用高分辨率照片就能伪造生物标记。

更重要的是,近年来,支持生物识别的基础架构已分散,以避免攻击者可能窃取的生物识别信息的中央数据库。结果,身份验证实际上归结为基于私钥/公钥的交换-这意味着仅窃取密钥就可以窃取用户的身份,即使根本不伪造或不拥有任何生物识别数据。

考虑到所有这些风险因素,美国国家标准技术研究院建议不要将生物识别技术用作认证的唯一方法也就不足为奇了。

基于电话的身份验证器

电话验证器正在迅速成为技术界的领先解决方案。当前存在三种利用移动电话进行认证的方法。

推送通知应用程序通过向服务器发送访问请求的用户工作,服务器会立即以安全挑战或已进行身份验证的消息进行响应。这种方法的一大优点是,它提供了顺畅的用户体验,因为无需查找一次性密码或携带其他冗余设备。

此外,由于无需记住密码或携带其他设备,因此用户体验很好。推送仅需要对应用程序通知的响应,这些通知将直接发送到用户的移动设备。

Secret Double Octopus利用秘密共享加密技术来提供对用户的在线平台,Internet应用程序和Active Directory等网络的无密码,高安全性的访问。

软件令牌或简称为软令牌,在概念上与硬令牌类似。但是,它没有携带额外的硬件,而是使用智能手机使用智能手机的时钟和设备上安装的应用软件中包含的算法来计算一次性代码。

身份验证软件的领导者之一是荷兰公司CM.com。CM提供了一系列一次性密码生成应用程序,这些应用程序专门设计用于企业级别。

但是,软令牌有一个缺点。由于软令牌一次性密码位于网络连接的设备上,因此它们本来就更容易受到攻击,因为它们很容易受到黑客远程拦截和复制应用程序密码的威胁。

文本消息一次性密码称为SMS身份验证。最初,除密码外还使用SMS。但是,由于可以通过接受SMS来重置密码本身,因此密码的值减少了,并且更多的应用程序开始使用SMS作为替代密码。SMS一次性密码的最大优点是,它们不需要在用户的移动设备上安装任何应用程序。

金雅拓(Gemalto)是一家位于马里兰州贝尔坎普市(Belcamp)的数字安全公司,为短信密码传递提供了一种用户友好,与业务兼容的解决方案。该公司的一次性密码应用程序允许用户配置设置,以根据业务环境优化安全性,并可以与PC或笔记本电脑同步。

缺点是SMS消息的安全性较弱。通过SMS传送的密码可以通过以下三种方式中的任何一种来泄露:冒充手机的所有者,黑客入侵蜂窝网络以及将恶意软件秘密植入移动设备本身。

即将发生的范式转变

所有迹象都表明,密码认证已不再存在。大型科技公司一直在忙于生产创新的替代产品,用户也开始要求替代产品。有了不同方法的利弊知识,公司和个人用户可以找到最适合其需求的身份验证解决方案。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。