雖然身份驗(yàn)證的可選形式已經(jīng)有很多了，但許多企業(yè)仍是情有獨(dú)鐘：僅依靠口令作為雇員身份驗(yàn)證的唯一方式。僅僅使用口令進(jìn)行認(rèn)證有許多弊端。其實(shí)，專家們很早就建議企業(yè)放棄這種相對(duì)過(guò)時(shí)的身份驗(yàn)證方法。那么，口令真的"窮途末路"了嗎?

[[138349]]

口令問(wèn)題

簡(jiǎn)單的口令更容易使敏感的公司數(shù)據(jù)遭受竊取。難以記憶的口令對(duì)用戶來(lái)說(shuō)不太方便，況且復(fù)雜的口令也未必安全，因?yàn)榧词箯?fù)雜口令也可能被破解。

攻擊者喜歡薄弱的鏈條，而當(dāng)前，口令正是最適合的攻擊目標(biāo)。攻擊者喜歡收集口令數(shù)據(jù)庫(kù)，并且實(shí)施釣魚(yú)攻擊，誘導(dǎo)雇員泄露其機(jī)密信息。隨著越來(lái)越多的帶外(OOB)方案被應(yīng)用到企業(yè)，尤其是在涉及到金錢時(shí)，攻擊往往會(huì)伴隨而來(lái)。

口令是IT系統(tǒng)中最知名的漏洞之一。管理員絕不可能知道的一個(gè)基本問(wèn)題是自己全然忘記了口令，直至為時(shí)已晚。有人會(huì)竊取口令，或者猜測(cè)口令，并在管理者不知情時(shí)使用口令。

其它選擇

其實(shí)，決策者還是有許多可以比較并選擇的口令替代品或其它認(rèn)證形式，而有些最流行的選擇都是基于電話的。

電話很方便，由于多數(shù)人都隨身攜帶手機(jī)，智能手機(jī)僅僅是一個(gè)常見(jiàn)的使用案例。有些認(rèn)證使用簡(jiǎn)單的短信進(jìn)行身份驗(yàn)證，而有些使用安裝在手機(jī)上的“軟件令牌”來(lái)生成一次性口令，而有些使用數(shù)字證書或PKI(公鑰基礎(chǔ)設(shè)施)甚至生物識(shí)別(如iPhone)進(jìn)行身份驗(yàn)證。軟件令牌未必在智能手機(jī)上，對(duì)于筆記本電腦、PC、平板電腦，它也非常有用。

此外，口令被稱為是一種單重形式的身份驗(yàn)證。管理者或其他人員是以單獨(dú)的某種知識(shí)或秘密為基礎(chǔ)進(jìn)行驗(yàn)證的。然而，更佳的是雙重認(rèn)證，但其實(shí)現(xiàn)方法有很多種，而且這些方法并非同等優(yōu)秀。

尤其值得注意的是，最強(qiáng)健的雙重驗(yàn)證包括一種物理組件以及口令。從廣泛的范圍來(lái)看，最強(qiáng)健的雙重驗(yàn)證可能是新USB安全密鑰。這些安全手段已經(jīng)出現(xiàn)了很長(zhǎng)時(shí)間，但只是最近才開(kāi)始兼容于個(gè)人的計(jì)算機(jī)和便攜式設(shè)備。

其它更安全的選項(xiàng)還有多重驗(yàn)證、基于知識(shí)的驗(yàn)證(確認(rèn)個(gè)人的信息)、生物識(shí)別、第三因素認(rèn)證等。

展望

口令不會(huì)亡，因?yàn)榭诹畹某杀竞艿?，且易于使用。?duì)于大量的低級(jí)應(yīng)用來(lái)說(shuō)，口令作為一種低成本的認(rèn)證形式完全可以滿足需要。

當(dāng)然，在過(guò)渡階段，我們需要花費(fèi)時(shí)間和金錢才能正確而成功地用適當(dāng)?shù)募夹g(shù)來(lái)完全取代口令。下一代認(rèn)證有可能擁有某種形式的多重認(rèn)證。混合認(rèn)證方案在未來(lái)的幾年中將日益增長(zhǎng)。

即使對(duì)于生物識(shí)別這種安全機(jī)制來(lái)說(shuō)，用戶也有可能喪失密鑰，因而最終也會(huì)需要某種形式的口令才能正常使用系統(tǒng)。所以，筆者建議企業(yè)在設(shè)想無(wú)需口令的未來(lái)時(shí)，要保持理性和謹(jǐn)慎。