使用用戶名/密碼作為主要安全機(jī)制的分布式信息系統(tǒng)正在普及。二十多年前，那時(shí)系統(tǒng)沒有廣泛應(yīng)用遠(yuǎn)程訪問，那時(shí)高級(jí)持續(xù)威脅（APT）僅僅針對acid reflux 形式，密碼是非常有效地。那是驗(yàn)證用戶的身份是非常容易證明的。但是，如今系統(tǒng)的高度復(fù)雜化和隨時(shí)隨地需要訪問一個(gè)令人眼花繚亂的互聯(lián)系統(tǒng)陣列，同樣地，僅僅依靠密碼去保護(hù)那些具有不同危險(xiǎn)程度的系統(tǒng)（從訪問你喜歡的棒球隊(duì)到你公司的遠(yuǎn)程站點(diǎn)），看上去就像是一個(gè)奇怪的二分法。驗(yàn)證一個(gè)用戶不在是那么高度可信了。

隨著信息系統(tǒng)在過去二十多年的迅速發(fā)展，相應(yīng)的安全機(jī)制并沒有跟上。相反，在現(xiàn)代社會(huì)，密碼的使用變得根深蒂固，平局每個(gè)人需要記住5到7組不同的密碼。

長期以來，安全專家總是宣傳使用長（12個(gè)以上字符）和復(fù)雜的密碼（大寫字母，符號(hào)和數(shù)字），不同的平臺(tái)之間不要重復(fù)使用密碼。雖然理論上這是好的建議，但在實(shí)踐中，有嚴(yán)重的缺陷。選擇最容易的方法，這是人類的天性，特別是，在遇到更加復(fù)雜的情況出現(xiàn)時(shí)做出選擇。因此，許多人會(huì)使用他們Facebook的基本相同的密碼作為他們公司的商業(yè)賬號(hào)密碼。

你能回想起5個(gè)完全獨(dú)立的復(fù)雜密碼嗎？我可以確定某些人不能記得（我可以勉強(qiáng)記得我鞋的尺碼）。是的，現(xiàn)在有很多軟件工具能夠幫助我們減輕記住這么多密碼的煩惱（例如自動(dòng)密碼管理軟KeePas）或者修改例如口令而不是密碼，因?yàn)檫@些口令可以是大腦中更容易記得的。然而，這只是使人們更容易記住密碼，并不能解決密碼安全根本上的弱點(diǎn)。

即使最好的密碼保護(hù)措施也可能會(huì)很容易的被破解

為了說明這個(gè)道理，讓我們假設(shè)每個(gè)人都是用冗長的并且復(fù)雜的密碼（我懷疑要做到這點(diǎn)需要哈利波特用魔法做到）。使用社會(huì)工程攻擊方法，例如網(wǎng)絡(luò)釣魚攻擊，會(huì)發(fā)生什么呢？惡意軟件利用鍵盤記錄器記錄鍵盤操作情況會(huì)出現(xiàn)什么現(xiàn)象呢？即使假設(shè)每個(gè)人都使用最好的密碼保護(hù)措施，用戶名/密碼也會(huì)被惡意病毒很容易的欺騙從而獲取信息。所有的安全專家都會(huì)指責(zé)用戶沒有按照冗長和復(fù)雜的密碼標(biāo)準(zhǔn)設(shè)置，這樣可以確保不會(huì)面臨上述的危險(xiǎn)。

多因素驗(yàn)證是什么呢？當(dāng)然，它是延長密碼生命周期的解決辦法。多因素驗(yàn)證是一種純粹的戰(zhàn)術(shù)移動(dòng)，迫使網(wǎng)絡(luò)黑客轉(zhuǎn)移戰(zhàn)術(shù)。鑒于網(wǎng)絡(luò)黑客是非常積極和靈活的，多因素身份驗(yàn)證控制被破解之前只是時(shí)間問題。備受推崇的安全專家Bruce Schneier指出“攻擊者會(huì)使用攻擊實(shí)時(shí)交易的工具獲取多因素身份驗(yàn)系統(tǒng)信息：中間人攻擊和木馬攻擊會(huì)對客戶端進(jìn)行攻擊。”Schneier是對的，因?yàn)闉g覽器中間人攻擊(MitB)最終浮出水面。這個(gè)惡意病毒寄托在用戶和網(wǎng)站之間的網(wǎng)絡(luò)瀏覽器并被植入其中。它能夠改變用戶所看到的信息和改變系統(tǒng)中真實(shí)的信息。

跨越密碼

密碼不再是一個(gè)有效的安全控制；事實(shí)上，它們具有主要責(zé)任。我們正處于一個(gè)轉(zhuǎn)折點(diǎn)，這個(gè)轉(zhuǎn)折點(diǎn)是我們?nèi)绾蚊鎸Π踩珣?zhàn)線發(fā)生巨大的戰(zhàn)略轉(zhuǎn)變。與其對于用戶身份驗(yàn)證感到絕望，為什么不集中精力努力識(shí)別每個(gè)用戶的行為？信用卡行業(yè)在安全模式上的大量投資獲得了巨大地成功。他們意識(shí)到持卡人（或使用者）相關(guān)的賬戶是最不適合降低風(fēng)險(xiǎn)的。通過對行為欺詐監(jiān)測系統(tǒng)的大量投資，信用卡公司集中為每個(gè)用戶的預(yù)期行為設(shè)立了一個(gè)基準(zhǔn)。一個(gè)超出特征范圍的特定用戶交易將被阻止或接受檢查。這個(gè)欺詐監(jiān)測系統(tǒng)可以應(yīng)用到任何企業(yè)環(huán)境。每個(gè)員工都會(huì)在一個(gè)進(jìn)行定期的完成指定和預(yù)期安排的任務(wù)。一些違規(guī)行為，例如向陌生電子郵箱地址發(fā)送公司的客戶數(shù)據(jù)，或隱藏有知識(shí)產(chǎn)權(quán)的數(shù)據(jù)通過加密頻道發(fā)送到烏克蘭的服務(wù)器上。這將會(huì)作為可疑行為被標(biāo)記，因此，類似情況能夠被阻止和調(diào)查。

密碼仍然是行之有效的，但是是開始關(guān)注預(yù)期行為和建立相應(yīng)的用戶基線的時(shí)候了，因此，我們可以減少對過時(shí)的安全措施的依賴。加大對數(shù)據(jù)泄露防護(hù)工具方面的投入，這樣會(huì)推進(jìn)下一代公司欺詐行為技術(shù)的進(jìn)步。戰(zhàn)術(shù)的改變（例如多因素身份驗(yàn)證）在面對網(wǎng)絡(luò)黑客（他們已經(jīng)表現(xiàn)出非常善于改變戰(zhàn)術(shù)）時(shí)不會(huì)總是能夠成功。一個(gè)重大的戰(zhàn)略需要做出改變，將給防御者帶來力量平衡的轉(zhuǎn)變。這不是一個(gè)簡單的改變；超過20年的習(xí)慣和規(guī)范制度需要去打破。事實(shí)上，

密碼已經(jīng)確立成了安全標(biāo)準(zhǔn)，在安全行業(yè)中，這種標(biāo)準(zhǔn)將發(fā)生重大的文化變革，整個(gè)世界會(huì)成功完成這一壯舉。毫無疑問，這會(huì)花費(fèi)大量時(shí)間和精力。如何做出選擇呢？就像貓和老鼠游戲一樣永遠(yuǎn)不會(huì)停止。