有些人認(rèn)為不能再使用密碼了，原因顯而易見：密碼不能保護(hù)用戶，因?yàn)槊艽a很容易被破解;所有關(guān)于如何使密碼更安全的談?wù)摱己雎粤艘粋€顯而易見的事實(shí)：密碼根本無法變得更安全;此外，還有其他更好的身份驗(yàn)證方式，例如生物識別技術(shù)，畢竟其他人沒有你的指紋、眼膜和DNA。

但也有人說沒有那么快，生物識別技術(shù)還沒有經(jīng)過反復(fù)驗(yàn)證，如果用戶沒有設(shè)置太簡單的密碼，如果密碼身份驗(yàn)證系統(tǒng)得到改善，密碼仍然行之有效。

See-Thru首席技術(shù)官兼莫瑟爾學(xué)院教員Christopher Frenz表示，“問題在于不是因?yàn)槊艽a已經(jīng)過時，而是因?yàn)樵愀饷艽a和糟糕的密碼做法的廣泛存在”。他指出了2009年社交網(wǎng)站RockYou遭受SQL注入攻擊導(dǎo)致3200萬用戶賬戶密碼被泄露的事實(shí)，該網(wǎng)站唯一的密碼安全要求是密碼必須由至少5個字符組成，這導(dǎo)致很多人選擇使用12345、Password、rockyou、abc123以及常見單詞作為密碼。此外，該網(wǎng)站的密碼以及用戶的郵箱地址都以純文本格式存儲。

一些網(wǎng)站(其中包括Hotmail)現(xiàn)在要求使用更復(fù)雜的密碼，且密碼必須由多種字符類型組成。對于高強(qiáng)度密碼，用戶很難記住，特別是當(dāng)用戶需要記住幾十個不同網(wǎng)站密碼時。但是他認(rèn)為解決這個問題的方法就是使用較長的密碼，他鼓勵用戶使用短語而不是由字母和數(shù)字隨機(jī)組成的短密碼。這樣做能夠提供更高的安全性，同時更容易讓用戶記住。

英國BBC電視信息安全官Owain Rees同意他的說法：“提高密碼安全性的唯一方法是盡量使用較長的密碼。在大多數(shù)情況下，與短而復(fù)雜的密碼相比，一個很長而簡單的密碼更難被破解。”

新加坡ShieldPass的經(jīng)理Matthew Walker表示，即使這樣還是遠(yuǎn)遠(yuǎn)不夠的。目前IT管理員都趨向于要求用戶提高密碼的復(fù)雜性，并定期修改密碼，這使管理網(wǎng)上密碼的工作變得非常繁瑣，但這也在一定程度上打壓了專門攔截和復(fù)制密碼的惡意軟件。

Walker則認(rèn)為，要求用戶使用復(fù)雜密碼，然后提供一個“忘記密碼?”的鏈接來向用戶電子郵箱發(fā)送一個臨時密碼，而這個臨時密碼可能是低強(qiáng)度密碼。但這種OTP(一次性密碼)已經(jīng)不再安全，一次性密碼很容易遭受中間人攻擊和瀏覽器的中間人攻擊，比例向用戶瀏覽器注入代碼的Spyeye和Zeus攻擊。

由于大多數(shù)身份盜竊的受害者都是集體用戶，例如數(shù)據(jù)庫遭受攻擊的網(wǎng)站的整個用戶群，加強(qiáng)密碼安全性的壓力應(yīng)該更多的落在系統(tǒng)管理員身上。Walker說，如時通過定時鎖定來管理身份驗(yàn)證會話，追蹤IP地址，創(chuàng)建密碼時使用更先進(jìn)的密碼復(fù)雜度分析，都能夠從本質(zhì)上提高最終用戶的安全。

Rees表示，部分問題在于用戶可能希望除密碼外更多的驗(yàn)證方式，密碼應(yīng)該成為分層安全防御的一部分。他將密碼比作汽車的鎖，這并不意味著小偷不會敲碎玻璃然后爬進(jìn)汽車。只不過汽車鎖制造了一個障礙。所以汽車還應(yīng)該配備一個防盜報警器和電子防盜系統(tǒng)。同樣的，計(jì)算機(jī)安全還應(yīng)該增加其他元素，例如入侵防御系統(tǒng)、防火墻和數(shù)據(jù)加密。

從以上可以看出，這三名安全專家一致認(rèn)為包括生物識別技術(shù)的“三因素身份驗(yàn)證”將不會提高安全性，甚至有可能使情況變得更糟。
 

【編輯推薦】

1. CIO需未雨綢繆做好移動設(shè)備管理
2. 微軟成功上位“云計(jì)算管理平臺首選品牌”
3. 北塔BTCM IT運(yùn)維集中管理軟件年末巨獻(xiàn)
4. Gitblit 0.8.1發(fā)布 Java的Git管理工具
5. 新浪被爆7000萬明文密碼泄漏