密碼管理仍然是一個問題—下一步是什麼?
在密碼管理方面,很多人比較懶惰,而對於我們大多數人來說這並不奇怪。自從數字身份驗證開始實施以來,很多使用者就知道不必在賬戶之間迴圈使用密碼。由於需要密碼保護的帳戶越來越多,並且密碼要求也越來越嚴格,所以人們很難全部記住更多的密碼。因此,很多人一直採用更容易記住的密碼,並只在需要時才進行更改。 這種密碼管理方式可能在二十年前足夠安全,但如今,洩露的密碼成為在暗網銷售的主要商品。密碼在資料洩露事件中被盜並被出售,而結合被盜者的使用者名稱或電子郵件,被盜的密碼可以使網路犯罪分子獲取組織和個人資料的鑰匙。而其使用合法憑據實施的違規行為很難被發現,因此密碼被盜如此猖獗不足為奇。
修補密碼管理錯誤
如今,人們對密碼的脆弱性以及採用更好的密碼管理的必要性有了相對深入的瞭解。然而,根據 OpenVPN 公司的研究,四分之一的的受訪者表示對所有接入點使用相同的密碼,17 %的的受訪者承認他們對至少六個不同的賬戶使用相同的密碼,只有不到一半的受訪者表示對三個賬戶使用相同的密碼。
顯然,原有的密碼使用習慣很難改變,但是這種特殊的不良習慣可能導致個人身份被盜或財物被盜,或者給組織造成數百萬美元的罰款、賠償和業務損失。這也是越來越多的 IT 和安全決策者正在尋求新的無密碼身份和身份驗證管理系統的原因。但是,人們對於一個沒有密碼的世界準備好了嗎?
推動無密碼身份驗證
越來越多的人希望擺脫基於密碼的身份驗證,並使用其他方法來建立數字身份。例如,快速身份聯機( FIDO )聯盟正在建立旨在取代密碼需求的標準。從理論上講,這是一個好主意。在實踐中,它可能很複雜。如果刪除密碼,用什麼替換它們?將以什麼方式繫結身份驗證因素,是裝置還是使用者?如何重新建立組織內已有使用者的數字身份?最後,如果這個身份驗證方法失效會發生什麼?其備份計劃是什麼?
密碼可以驗證對網路、軟體和資料庫的訪問,但它們也提供了一定程度的安全性,即使其安全層越來越差且效率低下。這就是為什麼 Identiverse 2018 會議的發言者和小組成員表示在考慮密碼替代的任何認證方法中需要安全性的原因。
然而他們強調,使用者不願意採用需要太多步驟的方法。畢竟,使用者在密碼管理方面可能面臨失敗,因此他們希望流程儘可能簡單。人們很難記住幾十個獨特的密碼,即使人們知道其中的風險,重複使用同一個密碼也更加簡單方便。不同的使用者將根據裝置和情況做出不同的選擇。這就是為什麼每個用例都需要更多差異化的原因。
在舊習慣中採用新方法
有證據表明,人們選擇比較熟悉的安全措施和方法。生物識別身份驗證似乎是替換密碼的明顯選擇。根據 OpenVPN 的研究,“77 %的人信任生物識別密碼,62 %的人認為其功能比傳統的字母和數字程式碼更加強大。”但是,只有不到一半的人會使用生物識別技術,因為其可用性需要加強。
很多人不願意採用生物識別技術。 Duo Security 公司的研究表明,當網站提供多因素身份驗證選項時,只有不到三分之一的使用者採用它,這再次表明人們希望使用盡可能少的步驟。
企業提供無密碼身份驗證選項,例如 Universal Second Factor (U2F )安全金鑰或使用動態身份驗證選項的智慧手機應用程式。雖然IT 和安全專業人員都採用這些無密碼選項,但是普通使用者何時採用以及是否進行切換仍有待觀察。
儘管提供了更加安全的身份驗證方法,但人們使用密碼的習慣不會很快消失,因此比其他選項更信任密碼。而只要他們使用密碼,其密碼管理仍然很糟糕,而讓使用者擺脫原有的密碼習慣需要一定的時間。而新的身份驗證方法被逐漸接受並採用,將使使用者有機會讓新的安全性最佳實踐成為他們的新習慣。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31510736/viewspace-2213231/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 為什麼程式碼重用仍然是一個安全噩夢
- 【譯】System.Text.Json 的下一步是什麼JSON
- 什麼是P問題、NP問題和NPC問題
- 什麼是低程式碼?低程式碼平臺能解決什麼樣的問題?
- win10進入安全模式需要密碼初始密碼是什麼Win10模式密碼
- 問你個問題:是什麼讓高鐵變得“安靜”?
- IT 自動化的下一步是什麼: 6 大趨勢
- Omdia:科技行業的下一步是什麼?(附下載)行業
- [轉載]什麼是P問題、NP問題和NPC問題
- PbootCMS的預設賬號密碼是什麼?boot密碼
- JSONP的原理是什麼?解決什麼問題?JSON
- 域名管理常見問題:什麼是泛解析?(中科三方)
- 國密是什麼意思?屬於商密還是普密?
- 什麼是智慧礦山?它能解決什麼問題?
- 如何登入 oss 的賬號密碼是什麼密碼
- 域名管理常見問題:什麼是NS記錄?(中科三方)
- 取得開門紅後,「七聖召喚」的下一步是什麼?
- 什麼是密評?密評有哪些流程?
- 精益管理顧問是做什麼的工作?
- 《密碼學系列》|| 密碼學中的流密碼是怎麼回事?密碼學
- BPMN2.0是什麼?它能解決企業流程管理中哪些問題?
- 什麼是向上管理
- Service Mesh是什麼,為我們解決了什麼問題?
- 360瀏覽器密碼管理在哪裡 360管理密碼怎麼設定瀏覽器密碼
- 【Java面試】什麼是可重入,什麼是可重入鎖? 它用來解決什麼問題?Java面試
- 測試問題管理用什麼專案管理軟體好?專案管理
- 微信一面:什麼是一致性雜湊?用在什麼場景?解決了什麼問題?
- excel返回上一步的快捷鍵是什麼 excel如何前進到下一步Excel
- 原始碼解析:Git的第一個提交是什麼樣的?原始碼Git
- PbootCMS管理員密碼忘記怎麼辦?pboot重置密碼boot密碼
- 人工智慧存在的問題是什麼(三)人工智慧
- 併發問題的三大根源是什麼?
- 什麼是 Flink SQL 解決不了的問題?SQL
- 漫畫:什麼是 “千年蟲” 問題?
- 介面不響應可能是什麼問題?
- 什麼是雲原生?為什麼是Portworx來解決雲原生儲存問題?
- 【基礎】EM 還是 REM?這是一個問題!REM
- 開啟網站一片空白是什麼問題?怎麼解決?網站