口令已“死”的困境
當今已經(jīng)是萬物互聯(lián)的社會,身份認證無處不在。無論網(wǎng)站、手機應用、筆記本電腦、汽車、酒店門鎖、零售亭、自助取款機,或者游戲主機,安全對所有聯(lián)網(wǎng)系統(tǒng)來說都是最基本的。一個最典型的例子就是個人身份證,它
僅僅幾年之間,全球的計算機就從單個計算機組成的孤島世界轉變成為如今由網(wǎng)絡云連接起來的分散群落。不僅計算機相互連通,設備自身及其上運行的各種應用也隨著各自的用戶一起移動。應用不再局限于特定機器或數(shù)據(jù)中心,它們可以是分布式的、分散的或安裝于本地移動設備上。個人系統(tǒng)或用戶的安全狀況如今可以影響到與它們聯(lián)網(wǎng)的系統(tǒng)的安全。
互聯(lián)網(wǎng)已經(jīng)深植于全球文化和商業(yè)貿(mào)易之中,身份驗證的風險和影響也隨之日益增加。而隨著萬物互聯(lián)的逼近,數(shù)十億上百億的設備、傳感器和系統(tǒng)都將接入互聯(lián)網(wǎng),不僅僅是安全身份驗證的需求在以指數(shù)級增長,安全態(tài)勢也在改變。與口令被盜和身份驗證繞過直接相關的安全事件,不僅是在發(fā)生頻率上,其后果的嚴重性也在不斷的變本加厲。而更糟糕的是,以往的入侵事件正在造成一種雪球效應,使后續(xù)攻擊比它們的前任們更加容易、更快,波及范圍也更廣。
口令的問題
口令不僅僅是使用不當?shù)膯栴},它們從本質(zhì)上就不安全,也為未來的設備身份驗證引入了麻煩。
傳統(tǒng)上,聯(lián)網(wǎng)系統(tǒng)中用戶身份驗證的主要形式是用戶名和口令組合。最近,強身份驗證的概念開始流行,也就是在口令層面上再加一個附加的身份驗證因素以增加安全保障。但很不幸,無論是口令還是口令之上的強身份驗證在面對今天的安全挑戰(zhàn)之時均不是非解決方案。
隨著我們開始考慮設備互聯(lián)的物聯(lián)網(wǎng)世界,很容易看出今時今日使用的口令技術與組成我們未來聯(lián)網(wǎng)世界的廣大智能對象是多么地不相匹配。密碼向內(nèi)集中的本質(zhì)要求用戶向應用輸入憑證。然而,大多數(shù)設備,比如傳感器、門鎖和可穿戴設備并沒有附屬鍵盤供人鍵入口令。
雙因子驗證的問題
安全專家一直在建議用強身份驗證補足密碼方式的弱點。雖然強身份驗證的安全性的確優(yōu)于傳統(tǒng)的口令,但這種通常稱為雙因子身份驗證的傳統(tǒng)方式,并不足夠。
責任編輯:大云網(wǎng)
免責聲明:本文僅代表作者個人觀點,與本站無關。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內(nèi)容。
我要收藏
個贊
-
發(fā)電電力輔助服務營銷決策模型
2019-06-24電力輔助服務營銷 -
繞過安卓SSL驗證證書的四種方式
-
網(wǎng)絡何以可能
2017-02-24網(wǎng)絡