密码是验证全球用户身份的最常见方式,十多年来一直在缓慢下降。比尔·盖茨 (Bill Gates) 在RSA会议2004年上著名地断言: “毫无疑问,随着时间的流逝,人们对密码的依赖将越来越少…… 他们只是无法满足您真正想要保护的任何挑战。”
为了保持可接受的安全标准来保护公司资产和员工,企业需要开始认真考虑如何实施基于密码的系统的替代方案。
密码的主要问题是: 对于初学者来说,密码不是那么安全。世界上每家公司都使用它们来验证用户身份,以确认他们是他们所说的人,但是Verizon最近的一项研究表明,大多数黑客都利用弱密码或可猜测的密码。此外,密码很容易被黑客使用各种方法窃取或提取,例如冒充您认识或信任的人以获取登录信息或个人详细信息。
粗心的做法,例如暴露密码的硬拷贝或数字拷贝,也是造成密码泄露的主要原因。下次你把你的工作账户密码写在一张纸上,然后把它放在办公室的抽屉里,想想看。
有许多例子证明密码对盗窃的脆弱性。2017年,在线图像共享社区Imgur因安全协议薄弱而从公司数据库中窃取了大量用户密码,因此成为头条新闻。黑客入侵了170万帐户。
2018年,暴露了嵌入在英特尔处理器上多年的缺陷,允许黑客获得设备内存访问和身份验证凭据。甚至最近,美国研究人员发现了Zyklon病毒的重新传播,Zyklon病毒是一种恶意软件程序,利用Microsoft应用程序中的漏洞窃取密码和其他个人详细信息。清单还在继续。
问题的第二个方面是,密码要求用户为大多数帐户记住许多字母/数字/字符组合,如果我们说实话,这是完全不现实的。通过简单地为多个帐户重复相同的密码来限制密码的种类,只会增加安全风险。
尽管密码仍在几乎所有行业和公司中使用,但许多替代工具已经开始进入我们的日常工作,并将在不久的将来的某一天完全替换密码。
以下是最受欢迎的密码替代品的一些优缺点,可能适合您的公司,因为所有密码都在使用渡渡鸟。
安全令牌
软令牌和硬令牌都提供了合理的安全性,因为它们要求任何用户在登录时拥有特定物品。令牌未连接到网络,而是基于与中央服务器同步的 “种子记录” 生成一次性密码。当前的许多令牌技术甚至不需要用户手动键入密码,而是通过设备的近场通信将其传输到pC或笔记本电脑。
一家在这一行业取得进展的公司是总部位于纽约的Tokenize。该产品允许将各种操作和设备同步到小型可穿戴戒指令牌,从信用卡购买到解锁计算机。
然而,出于多种原因,代币给企业带来了严重的后勤挑战。首先,基于令牌的系统部署成本很高,因为每个用户都需要拥有自己的设备。此外,该方法要求用户在想要登录的任何时候都随身携带令牌,同时还需要保护他们免受丢失和盗窃。
生物识别
生物识别技术是像指纹和面部扫描这样的标识符。这种方法在用户中越来越受欢迎,像苹果的Touch ID和Face ID这样的应用程序现在非常普遍。从安全角度来看,生物识别技术的优势在于,该技术基于用户 “是” 的东西。例如,指纹不能像其他身份验证者那样丢失或被黑客入侵。生物识别技术也倾向于提供更好的用户体验,因为许多指标都可以快速轻松地进行身份验证。
许多技术领导者已经开始为身份验证提供可扩展的生物识别解决方案。Microsoft Hello for pc现在具有指纹和面部识别选项,并且该公司将来将越来越多地提供与该应用程序兼容的设备。
不过,生物识别也有其缺点。许多常见的生物识别系统仍然存在准确性问题,并且可能非常昂贵。生物识别技术也容易受到黑客的攻击。日本研究人员去年的发现表明,只需使用高分辨率照片就可以伪造生物特征标记。
更重要的是,近年来支持生物识别的基础设施已经分散,以避免可能被攻击者窃取的生物识别信息的中央数据库。结果,身份验证实际上归结为基于私钥/公钥的交换-这意味着仅窃取密钥就可以窃取用户的身份,即使没有伪造或拥有任何生物特征数据。
考虑到所有这些风险因素,美国国家标准与技术研究所建议不要使用生物识别技术作为唯一的身份验证方法也就不足为奇了。
基于电话的身份验证器
电话认证器正在迅速成为科技界的领先解决方案。目前有三种利用手机进行身份验证的方法。
推送notificationapps的工作原理是用户向服务器发送访问请求,该服务器立即响应安全挑战或已进行身份验证的消息。这种方法的一大优点是它提供了流畅的用户体验,因为不需要查找一次性密码或携带其他冗余设备。
此外,用户体验很好,因为不需要记住密码或携带额外的设备。推送仅需要对应用程序的通知的响应,这些通知直接发送到用户的移动设备。
Secret Double Octopus利用秘密共享加密来提供对用户的在线平台,internet应用程序和Active Directory等网络的无密码,高保证访问。
软件令牌,简称软令牌,在概念上与硬令牌相似。但是,它没有携带额外的硬件,而是使用智能手机的时钟和设备上安装的应用程序软件中包含的算法来计算一次性代码。
在认证软件的领导者中,有荷兰公司CM.com。二1212提供了一系列专门设计用于企业级别的一次性密码生成应用程序。
不过,软令牌有一个缺点。由于软令牌一次性密码位于网络连接的设备上,因此它们本质上变得更加脆弱,因为它们容易受到黑客远程拦截和复制app'spasswords的威胁。
文本消息一次性密码称为SMS身份验证。最初,除了密码外,还使用了SMS。但是,由于可以在接受SMS的情况下重置密码本身,因此密码的价值减少了,并且更多的应用程序开始使用SMS作为密码替代。SMS一次性密码的最大优点是,它们不需要在用户的移动设备上安装任何应用程序。
金雅拓是一家在马里兰州贝尔坎普 (Belcamp) 运营的数字安全公司,为SMS密码传递提供了用户友好的,与业务兼容的解决方案。该公司的一次性密码应用程序允许用户conp设置,以根据业务环境优化安全性,并可以与pC或笔记本电脑同步。
缺点是SMS消息的安全性较弱。通过SMS传递的密码可以通过以下三种方式中的任何一种方式进行破坏: 冒充手机的所有者,对无细胞网络进行黑客攻击以及将恶意软件发布到移动设备本身上。
即将到来的范式转变
所有的标志都指向远离密码身份验证的转变。大型科技公司一直忙于生产创新的替代品,用户也开始要求替代品。借助了解不同方法的优缺点,公司和inpidual用户可以找到最适合其需求的身份验证解决方案。