12

消灭密码

密码,这一获得访问我们最有价值数据的主要手段,几乎变得一点用处也没有了,甚至对黑客和恶作剧制造者们来说连一点阻拦的作用都没有了。

在现代计算大环境下,密码存在无数的问题。我们不再在单一主机上登录,有多个应用程序在各种平台上使用,这就意味着我们被迫要记住许许多多密码,导致很多人在不同的网站上使用非常简单的密码比如1234或同样的密码,甚至都不再考虑密码是否安全。

想一下你上一次买了一个新设备,想要登录Facebook或者其它常光顾的网站。如果你像我一样,在各种网站上使用不同的密码,那么你可能已经忘掉密码。你也许会像我以往经常做的那样,点击找回密码,但那也就意味着你要在各种不同的设备上更换密码。那是多么可怕的系统。

我经常遇到这样的问题,我也相信我不是唯一一个遭受这种困扰的人。显然,我们需要一种更好的解决办法。

13

密码太多

 

在数据库中设置静态密码,大概是所能想到的保密最愚蠢的主意。只要一个经验老到的(甚至不是非常聪明的)黑客进入到数据库,正如我们一次次了解到的那样,密码的存在仿佛正是为了打开这个巨大的宝库,这是一个黑客最乐意看到的。

2012年的一项民意调查显示,41%的人选择记住密码,29%的人选择记在本子上,而只有9%的人将密码在电脑上存档。这些都不是理想的选择。

2012年另一项调查显示,普通人平均有17个个人密码和8.5个工作密码。并且这些数字从那时起一直在增加。如果你真的要使用这么多密码,那试图要记住超过25个密码确实是一项艰巨的任务。

有一些企业比如 Ping Identity、 Okta,它们试图利用单点登录来简化这一程序,取得了一定程度的成功。这一举动对企业一方有利,但对消费者没用。

我们可以使用密码管理软件来帮我们记住密码,当然,密码管理软件还是由一个单一的密码保护(想必你也能猜到)。那就意味着如果有人“黑”了你的密码管理软件,他们就会得到所有的密码。事实上,今年早些时候LastPass就发生过这种情况。

然而最近两年来,不管你有多少密码,不管你有多么谨慎,总会有一些密码落在许多可恶的黑客手里。

不作为的后果

 

我们眼看着这种案例一再重复,这些漏洞是铭刻在互联网历史上的耻辱。从塔吉特到索尼到安腾到美国人事管理办公室,我们目睹这种大型的泄露一再发生。每一次发生事故,都会有大量密码流入黑客的黑市交易市场上。

当然并不是所有这些事故都是因为密码出现错误导致的,但对黑客来说利用恶意程序去窃取密码并不难,甚至都不需要从超级黑客那里获得宝藏。但是一旦他们闯进系统,就会用很多巧妙的方法来盗取各种数据存储。

据General Catalyst(一家为许多安全公司包括Ping Identity, Menlo Security和ThreatStream提供资金支持的公司)的总经理Steve Herrod表示,一部分问题在于公司不能很好地掌控其数据库中的数据。

“当高层的人不得不开始做数据清单,这些成了我自己的数据库,而听到这些数据库已经泄露是件多么糟糕的事,” Herrod不解道。“一旦你知道自己拥有什么,就有能力更好地保护公司的‘王冠’。问题是该保护系统并不总是针对最高优先级的数据。”他说。

减轻用户负担

 

从现在开始,这一负担不应落在我们用户身上,而应该由那些经营网络公司的聪明人来思考如何简化安全程序,以使其对用户来说更容易、更方便,而对用心不良的人来说更难窃取证书。这将比苦苦思考如何为我们提供更好的广告服务要好得多——只是说说而已。

系统将责任推给用户,从而使消费者或职员的生活陷入麻烦的例子太普遍了。当你不得不每30天替换一次密码,并且密码要跟以往用过的信息都不能重合,还要用大小写字母,至少两个数字和一个符号时,这对用户来说将是一项艰难的任务。它强迫人们去记非自然的密码,逼着他们用不安全的方法来记密码,比如写在便利贴上、粘贴在桌面上,或者甚至是记在更明显的像“密码日志”之类的东西上。

关键是要找到一种方式来保障我们的个人信息安全,而不必给用户带来不必要的麻烦,同时使密码很难——当然最好完全不可能——被盗走。那就需要有自动不断变化的密码或者像指纹、眼睛扫描之类的技术。值得注意的是,我的手指和眼睛总是不离身的,我不可能忘记它们,你也没有在数据库扫描存储过。它可以在系统层面交互,但不能被任何人访问(除了一些令人毛骨悚然的场景我宁愿不考虑)。许多设备上已经配备了用于眼睛扫描的装备,类似于一种照相机。其他设备很多也配备了指纹扫描仪。

当然,没有什么是绝对的,一定有比我们目前更好的方法。密码失效后,将所有的责任推向用户,这正好与系统正常运转的方式相反。甚至当你熟练掌握了密码——我认为大部分人做不到这一点,如果我们诚实的话——一旦数据库泄露,这些都不重要了。也许你本可以有地球上最安全的密码,一旦有人窃取了它,就变成他们的了。

因此,我恳求所有聪明的工程师和安全极客们汇聚你们的集体智慧、发动头脑风暴来找到一个更好的方法。一定存在着一个更好的方法。

是时候消灭密码了——为了大家的利益。

dbDao.com 引导式IT在线教育

dbDao 百度贴吧:http://tieba.baidu.com/dbdao

扫码关注dbDao 微信公众号:

发表评论

电子邮件地址不会被公开。 必填项已用*标注

您可以使用这些HTML标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">