雖然身份驗(yàn)證的可選形式已經(jīng)有很多了,但許多企業(yè)仍是情有獨(dú)鐘:僅依靠口令作為雇員身份驗(yàn)證的唯一方式。僅僅使用口令進(jìn)行認(rèn)證有許多弊端。其實(shí),專(zhuān)家們很早就建議企業(yè)放棄這種相對(duì)過(guò)時(shí)的身份驗(yàn)證方法。那么,口令真的"窮途末路"了嗎?
口令問(wèn)題
簡(jiǎn)單的口令更容易使敏感的公司數(shù)據(jù)遭受竊取。難以記憶的口令對(duì)用戶(hù)來(lái)說(shuō)不太方便,況且復(fù)雜的口令也未必安全,因?yàn)榧词箯?fù)雜口令也可能被破解。
攻擊者喜歡薄弱的鏈條,而當(dāng)前,口令正是最適合的攻擊目標(biāo)。攻擊者喜歡收集口令數(shù)據(jù)庫(kù),并且實(shí)施釣魚(yú)攻擊,誘導(dǎo)雇員泄露其機(jī)密信息。隨著越來(lái)越多的帶外(OOB)方案被應(yīng)用到企業(yè),尤其是在涉及到金錢(qián)時(shí),攻擊往往會(huì)伴隨而來(lái)。
口令是IT系統(tǒng)中最知名的漏洞之一。管理員絕不可能知道的一個(gè)基本問(wèn)題是自己全然忘記了口令,直至為時(shí)已晚。有人會(huì)竊取口令,或者猜測(cè)口令,并在管理者不知情時(shí)使用口令。
其它選擇
其實(shí),決策者還是有許多可以比較并選擇的口令替代品或其它認(rèn)證形式,而有些最流行的選擇都是基于電話(huà)的。
電話(huà)很方便,由于多數(shù)人都隨身攜帶手機(jī),智能手機(jī)僅僅是一個(gè)常見(jiàn)的使用案例。有些認(rèn)證使用簡(jiǎn)單的短信進(jìn)行身份驗(yàn)證,而有些使用安裝在手機(jī)上的“軟件令牌”來(lái)生成一次性口令,而有些使用數(shù)字證書(shū)或PKI(公鑰基礎(chǔ)設(shè)施)甚至生物識(shí)別(如iPhone)進(jìn)行身份驗(yàn)證。軟件令牌未必在智能手機(jī)上,對(duì)于筆記本電腦、PC、平板電腦,它也非常有用。
此外,口令被稱(chēng)為是一種單重形式的身份驗(yàn)證。管理者或其他人員是以單獨(dú)的某種知識(shí)或秘密為基礎(chǔ)進(jìn)行驗(yàn)證的。然而,更佳的是雙重認(rèn)證,但其實(shí)現(xiàn)方法有很多種,而且這些方法并非同等優(yōu)秀。
尤其值得注意的是,最強(qiáng)健的雙重驗(yàn)證包括一種物理組件以及口令。從廣泛的范圍來(lái)看,最強(qiáng)健的雙重驗(yàn)證可能是新USB安全密鑰。這些安全手段已經(jīng)出現(xiàn)了很長(zhǎng)時(shí)間,但只是最近才開(kāi)始兼容于個(gè)人的計(jì)算機(jī)和便攜式設(shè)備。
其它更安全的選項(xiàng)還有多重驗(yàn)證、基于知識(shí)的驗(yàn)證(確認(rèn)個(gè)人的信息)、生物識(shí)別、第三因素認(rèn)證等。
展望
口令不會(huì)亡,因?yàn)榭诹畹某杀竞艿?,且易于使用。?duì)于大量的低級(jí)應(yīng)用來(lái)說(shuō),口令作為一種低成本的認(rèn)證形式完全可以滿(mǎn)足需要。
當(dāng)然,在過(guò)渡階段,我們需要花費(fèi)時(shí)間和金錢(qián)才能正確而成功地用適當(dāng)?shù)募夹g(shù)來(lái)完全取代口令。下一代認(rèn)證有可能擁有某種形式的多重認(rèn)證。混合認(rèn)證方案在未來(lái)的幾年中將日益增長(zhǎng)。
即使對(duì)于生物識(shí)別這種安全機(jī)制來(lái)說(shuō),用戶(hù)也有可能喪失密鑰,因而最終也會(huì)需要某種形式的口令才能正常使用系統(tǒng)。所以,筆者建議企業(yè)在設(shè)想無(wú)需口令的未來(lái)時(shí),要保持理性和謹(jǐn)慎。