影音先锋熟女少妇av资源,国产精品52页,2021精品国产自在现线看,亚洲高清中文字幕在线

物聯(lián)傳媒 旗下網(wǎng)站
登錄 注冊

未來ID和密碼會消失嗎?

作者:金順英 編譯
來源:中云網(wǎng)
日期:2013-06-18 10:39:46
摘要:“希望用戶重新設(shè)置完全不同的密碼,而不是使用和利用其他互聯(lián)網(wǎng)服務(wù)相同的密碼”--這番話會經(jīng)常出現(xiàn)在遭受網(wǎng)絡(luò)攻擊的新聞稿中。每當(dāng)筆者看到這類說辭會感到非常不舒服。

  “希望用戶重新設(shè)置完全不同的密碼,而不是使用和利用其他互聯(lián)網(wǎng)服務(wù)相同的密碼”--這番話會經(jīng)常出現(xiàn)在遭受網(wǎng)絡(luò)攻擊的新聞稿中。每當(dāng)筆者看到這類說辭會感到非常不舒服。

  實際上,筆者非常明白對方想要表達(dá)的意思。對方不過是在提醒用戶,為了確保用戶自身的安全,應(yīng)當(dāng)盡量避免輪流使用相同的密碼。但是,個人覺得這完全是在推卸責(zé)任。也許這么說是因為筆者過于挑剔,或者是因為記者的職業(yè)病所致。

  以前筆者曾在一篇文章中談到,網(wǎng)絡(luò)用戶“能夠記憶的”密碼數(shù)量平均大約是3個。因此,要求 網(wǎng)民“不要重復(fù)使用密碼”是根本不可能的事情。

  本來ID和密碼作為驗證本人的方法之所以得以普及,就是因為它比其他驗證方法更為便利。

  而這種便利的前提條件就是“重復(fù)使用密碼”。如果不能重復(fù)使用密碼,每次輸入密碼時都要拿出手冊啟動密碼管理軟件,其驗證本人的方法非常麻煩。

  目前,ID和密碼的使用方法越來越繁瑣。如果用戶使用的終端只有1臺電腦,那么使用瀏覽器的密碼自動完成(Autocomplete)的功能即可。但是,目前很多用戶使用智能手機(jī)等多種終端利用各種服務(wù),因此每當(dāng)通過新的終端訪問時就必須輸入密碼。

  須知密碼已“露出破綻”,要采取減少風(fēng)險的對策

  筆者曾問一位IT安全專家驗證技術(shù)的未來會如何,這位專家便笑著回答“只依靠ID和密碼的驗證方法已經(jīng)徹底失敗啦”。最初筆者聽到這一回答難以相信,試圖加以反駁但最后不得不作罷。實際上,目前黑客網(wǎng)絡(luò)攻擊事件持續(xù)不斷,這是因為攻擊技術(shù)也在不斷升級。

  最近2~3個月出現(xiàn)的網(wǎng)絡(luò)攻擊,據(jù)說多半采用的是被稱為密碼“l(fā)ist attack”的攻擊方法。這種方法是黑客利用從某網(wǎng)站服務(wù)泄漏的ID和密碼,企圖登陸其他網(wǎng)站服務(wù)。這種情況下,通常黑客成功登陸的幾率非常高。

  即便被盜的密碼采用的是不可挽回加密技術(shù)即散列函數(shù)(hash function)化的密碼,也不保險。例如,使用MD5和SHA-1等散列不可更改的密碼,可通過電腦搭載的通用計算機(jī)圖形處理器(GPGPU,GeneralPurposeGPU)進(jìn)行解析,并能夠快速恢復(fù)原密碼。

  經(jīng)營IT服務(wù)的企業(yè),首先應(yīng)當(dāng)接受依靠ID和密碼的驗證方法已經(jīng)失去意義的事實。而一邊勸告用戶“停止重復(fù)使用密碼”,同時又不去盡力改善目前的驗證方法,毫無疑問,這種做法就是向用戶轉(zhuǎn)嫁責(zé)任。

  下面,介紹三種盡可能減少網(wǎng)絡(luò)攻擊風(fēng)險的對策。

  1、在現(xiàn)有的密碼的基礎(chǔ)上,采用多種驗證方法

  美國Twitter2013年5月22日宣布,為防止.IP欺騙,將提供基于一次密碼(OTP,One-time Password)的兩步驗證即(即第一步為傳統(tǒng)密碼,第二部為物理設(shè)備認(rèn)證)選項功能(目前日本尚未采用)。此外,已經(jīng)采用這種方式的有谷歌公司和美國Dropbox,美國Evernote也表示將提供這種功能服務(wù)。目前,日本雅虎的短信服務(wù)提供的就是一次密碼即動態(tài)口令。

  筆者是Dropbox的重度使用者,目前它所提供的短信服務(wù)的動態(tài)密碼,使用起來便利且明顯感到安全系數(shù)得到提升。用戶無需為了將6位數(shù)字的密碼顯示在iPhone的待機(jī)畫面,進(jìn)行解除上鎖的終端等多余的操作。

  以上這種在傳統(tǒng)的密碼的基礎(chǔ)上進(jìn)行改良的驗證選項,特別對那些處理大量個人數(shù)據(jù)的網(wǎng)絡(luò)服務(wù)來講不可或缺。這是因為即便是使用同一種服務(wù),根據(jù)用戶的使用方法,保存?zhèn)€人數(shù)據(jù)的重要性有所差異。就比如亞馬遜的購買記錄,可能不過只是購買設(shè)備的清單而已,也有人會將其思想和性取向完全暴露無遺。又比如Twitter上的推特可能只是有關(guān)日常生活的內(nèi)容,也有可能像美聯(lián)社的賬戶被盜事件那樣,成為導(dǎo)致股市劇烈波動的原因。

  2、將網(wǎng)絡(luò)攻擊“可視化”

  如果每當(dāng)發(fā)生網(wǎng)絡(luò)攻擊事件時,網(wǎng)絡(luò)服務(wù)企業(yè)才想到要解析自家網(wǎng)站的日志,結(jié)果發(fā)現(xiàn)自家也受到黑客攻擊,這種管理體制則必定無法保護(hù)用戶不受到攻擊。網(wǎng)絡(luò)企業(yè)應(yīng)當(dāng)盡快認(rèn)清黑客攻擊已成家常便飯的事實,在此基礎(chǔ)上建立日常監(jiān)控體制。

  具體的講,比如采用可控管類似“突然來自國外的IP地址登陸”等不正常的訪問的基于風(fēng)險驗證的結(jié)構(gòu);完善監(jiān)控體制,不放過任何類似“來自同一IP地址的大量訪問”以及“非正常登陸失敗率增加”等非法訪問的預(yù)先征兆。對于懷疑有非法訪問的賬戶,迅速告知用戶,或是采取將賬戶鎖定的措施。

  3、將安全職能從ID部門分離出來 實施安全監(jiān)控

  某IT企業(yè)的安全負(fù)責(zé)人對筆者說:“ID部門的技術(shù)人員對安全問題并不重視”,這番話讓筆者大吃一驚。但是,仔細(xì)想來出現(xiàn)這種情況也不奇怪。這是因為評價管理用戶ID和驗證系統(tǒng)的ID部門員工關(guān)鍵績效指標(biāo)(Key Performance Indicator,KPI),很多是“增加用戶ID數(shù)量”。也就是說,會員數(shù)量越多,部門的評價也隨之提升。

  正因為如此,ID部門在權(quán)衡驗證的便利和安全強度孰輕孰重時,不可避免常常更重視前者。例如,并不會強行要求用戶“使用10位數(shù)以上的密碼”等更為嚴(yán)格的規(guī)定,而是試圖維持現(xiàn)有的寬松的規(guī)定。

  而糾正這種傾向就需要將安全監(jiān)控職能,從ID部門完全獨立出來,以便能夠客觀地指出驗證系統(tǒng)的安全漏洞,進(jìn)一步改善安全監(jiān)控系統(tǒng)。如此一來,上述1~2項措施也會容易實施。

  未來ID和密碼會不會消失

  采用比ID和密碼更為便利且安全的驗證方法,這曾是IT業(yè)界長期以來一直夢寐以求的“夢想”。但是,正因為使用密碼的方法太便利(可以重復(fù)使用),這一嘗試幾乎都已失敗告終。

  例如,日本最大的電信服務(wù)供應(yīng)商NTT DoCoMo就曾有試圖采用取代ID和密碼的驗證方法但遭致失敗的經(jīng)歷。1999年,該公司發(fā)起了一種名叫i-Mode(information-mode)的行動上網(wǎng)模式,提供移動電話與Internet網(wǎng)的持續(xù)連接。它采用高強度本人驗證方式,將終端和網(wǎng)絡(luò)以及用戶結(jié)合在一起,用戶只需使用4位數(shù)的密碼即可進(jìn)行銀行匯入業(yè)務(wù)。利用幾乎所有的服務(wù),均無需ID和密碼。

  但是,由于智能手機(jī)的迅速普及,徹底改變了這一狀況。開放的操作系統(tǒng)、多設(shè)備化、移動網(wǎng)絡(luò)和WiFi實現(xiàn)無縫連接的環(huán)境下,像i-Mode這種強力的本人驗證方法已沒有未來。因此,NTT DoCoMo試圖重新采用ID和密碼,這也是技術(shù)發(fā)展的必然現(xiàn)象。至少這1~2年內(nèi),恐怕很難出現(xiàn)能夠替代的驗證技術(shù)。

  那么,在還沒有發(fā)現(xiàn)可代替密碼的驗證方式的情況下,也只能繼續(xù)使用這種方法。而網(wǎng)絡(luò)企業(yè)首先必須接受“依靠ID和密碼的驗證方式已經(jīng)行不通”這一事實,并有責(zé)任實施上述保護(hù)用戶的措施。

人物訪談