雖然身份驗證的可選形式已經有很多了,但許多企業仍是情有獨鐘:僅依靠口令作為雇員身份驗證的唯一方式。僅僅使用口令進行認證有許多弊端。其實,專家們很早就建議企業放棄這種相對過時的身份驗證方法。那么,口令真的"窮途末路"了嗎?
口令問題
簡單的口令更容易使敏感的公司數據遭受竊取。難以記憶的口令對用戶來說不太方便,況且復雜的口令也未必安全,因為即使復雜口令也可能被破解。
攻擊者喜歡薄弱的鏈條,而當前,口令正是最適合的攻擊目標。攻擊者喜歡收集口令數據庫,并且實施釣魚攻擊,誘導雇員泄露其機密信息。隨著越來越多的帶外(OOB)方案被應用到企業,尤其是在涉及到金錢時,攻擊往往會伴隨而來。
口令是IT系統中最知名的漏洞之一。管理員絕不可能知道的一個基本問題是自己全然忘記了口令,直至為時已晚。有人會竊取口令,或者猜測口令,并在管理者不知情時使用口令。
其它選擇
其實,決策者還是有許多可以比較并選擇的口令替代品或其它認證形式,而有些最流行的選擇都是基于電話的。
電話很方便,由于多數人都隨身攜帶手機,智能手機僅僅是一個常見的使用案例。有些認證使用簡單的短信進行身份驗證,而有些使用安裝在手機上的“軟件令牌”來生成一次性口令,而有些使用數字證書或PKI(公鑰基礎設施)甚至生物識別(如iPhone)進行身份驗證。軟件令牌未必在智能手機上,對于筆記本電腦、PC、平板電腦,它也非常有用。
此外,口令被稱為是一種單重形式的身份驗證。管理者或其他人員是以單獨的某種知識或秘密為基礎進行驗證的。然而,更佳的是雙重認證,但其實現方法有很多種,而且這些方法并非同等優秀。
尤其值得注意的是,最強健的雙重驗證包括一種物理組件以及口令。從廣泛的范圍來看,最強健的雙重驗證可能是新USB安全密鑰。這些安全手段已經出現了很長時間,但只是最近才開始兼容于個人的計算機和便攜式設備。
其它更安全的選項還有多重驗證、基于知識的驗證(確認個人的信息)、生物識別、第三因素認證等。
展望
口令不會亡,因為口令的成本很低,且易于使用。對于大量的低級應用來說,口令作為一種低成本的認證形式完全可以滿足需要。
當然,在過渡階段,我們需要花費時間和金錢才能正確而成功地用適當的技術來完全取代口令。下一代認證有可能擁有某種形式的多重認證。混合認證方案在未來的幾年中將日益增長。
即使對于生物識別這種安全機制來說,用戶也有可能喪失密鑰,因而最終也會需要某種形式的口令才能正常使用系統。所以,筆者建議企業在設想無需口令的未來時,要保持理性和謹慎。
京公網安備 11010502049343號