密碼管理仍然是一個問題—下一步是什麼？

在密碼管理方面，很多人比較懶惰，而對於我們大多數人來說這並不奇怪。自從數字身份驗證開始實施以來，很多使用者就知道不必在賬戶之間迴圈使用密碼。由於需要密碼保護的帳戶越來越多，並且密碼要求也越來越嚴格，所以人們很難全部記住更多的密碼。因此，很多人一直採用更容易記住的密碼，並只在需要時才進行更改。 這種密碼管理方式可能在二十年前足夠安全，但如今，洩露的密碼成為在暗網銷售的主要商品。密碼在資料洩露事件中被盜並被出售，而結合被盜者的使用者名稱或電子郵件，被盜的密碼可以使網路犯罪分子獲取組織和個人資料的鑰匙。而其使用合法憑據實施的違規行為很難被發現，因此密碼被盜如此猖獗不足為奇。

修補密碼管理錯誤

如今，人們對密碼的脆弱性以及採用更好的密碼管理的必要性有了相對深入的瞭解。然而，根據 OpenVPN 公司的研究，四分之一的的受訪者表示對所有接入點使用相同的密碼，17 ％的的受訪者承認他們對至少六個不同的賬戶使用相同的密碼，只有不到一半的受訪者表示對三個賬戶使用相同的密碼。

顯然，原有的密碼使用習慣很難改變，但是這種特殊的不良習慣可能導致個人身份被盜或財物被盜，或者給組織造成數百萬美元的罰款、賠償和業務損失。這也是越來越多的 IT 和安全決策者正在尋求新的無密碼身份和身份驗證管理系統的原因。但是，人們對於一個沒有密碼的世界準備好了嗎？

推動無密碼身份驗證

越來越多的人希望擺脫基於密碼的身份驗證，並使用其他方法來建立數字身份。例如，快速身份聯機（ FIDO ）聯盟正在建立旨在取代密碼需求的標準。從理論上講，這是一個好主意。在實踐中，它可能很複雜。如果刪除密碼，用什麼替換它們？將以什麼方式繫結身份驗證因素，是裝置還是使用者？如何重新建立組織內已有使用者的數字身份？最後，如果這個身份驗證方法失效會發生什麼？其備份計劃是什麼？

密碼可以驗證對網路、軟體和資料庫的訪問，但它們也提供了一定程度的安全性，即使其安全層越來越差且效率低下。這就是為什麼 Identiverse 2018 會議的發言者和小組成員表示在考慮密碼替代的任何認證方法中需要安全性的原因。

然而他們強調，使用者不願意採用需要太多步驟的方法。畢竟，使用者在密碼管理方面可能面臨失敗，因此他們希望流程儘可能簡單。人們很難記住幾十個獨特的密碼，即使人們知道其中的風險，重複使用同一個密碼也更加簡單方便。不同的使用者將根據裝置和情況做出不同的選擇。這就是為什麼每個用例都需要更多差異化的原因。

在舊習慣中採用新方法

有證據表明，人們選擇比較熟悉的安全措施和方法。生物識別身份驗證似乎是替換密碼的明顯選擇。根據 OpenVPN 的研究，“77 ％的人信任生物識別密碼，62 ％的人認為其功能比傳統的字母和數字程式碼更加強大。”但是，只有不到一半的人會使用生物識別技術，因為其可用性需要加強。

很多人不願意採用生物識別技術。 Duo Security 公司的研究表明，當網站提供多因素身份驗證選項時，只有不到三分之一的使用者採用它，這再次表明人們希望使用盡可能少的步驟。

企業提供無密碼身份驗證選項，例如 Universal Second Factor （U2F ）安全金鑰或使用動態身份驗證選項的智慧手機應用程式。雖然IT 和安全專業人員都採用這些無密碼選項，但是普通使用者何時採用以及是否進行切換仍有待觀察。

儘管提供了更加安全的身份驗證方法，但人們使用密碼的習慣不會很快消失，因此比其他選項更信任密碼。而只要他們使用密碼，其密碼管理仍然很糟糕，而讓使用者擺脫原有的密碼習慣需要一定的時間。而新的身份驗證方法被逐漸接受並採用，將使使用者有機會讓新的安全性最佳實踐成為他們的新習慣。