密码防护时过境迁 专家呼吁更安全的多因子验证
作者: 日期:2018年02月06日 阅:3,008

据华尔街日报近日发布的一篇文章介绍,曾被誉为密码管理“圣经”的作者Bill Burr推翻自我论断,直言密码已不再是一级安全防线。Burr在其2003年写就的报告中建议用户使用数字、非字母符号及大写字母创建密码,并经常更换密码以增强安全性。而今,Burr向华尔街日报承认,他当年的建议是错误的,为此深表歉意。

安全专家Bill Burr

我们必须感谢Bill的坦诚。然而,尽管如此,密码在当下的安全领域仍然发挥着重要作用,但却无法独立保障绝对安全。

举例来说,如果你是一家或多家公司的董事会成员,你肯定会忙得脚不沾地,没有精力管理各个网站和应用软件使用的多个不同密码。而一旦你在多个网站使用相同或相似的密码,或者仅仅使用密码作为资料读取和身份验证的手段,你的企业以及你个人都将陷于身份被盗或重大的安全漏洞隐患当中。

显然,密码是首要,有时甚至是唯一的安全防线这种理念已经逐渐动摇。当然,密码仍占有一席之地,但却不宜孤立使用。我们都知道,密码是在20多年前才开始流行起来,当时,互联网开始普及,电子邮件逐渐成为人际和商务沟通的主要手段。你只要想一想,20多年前开发的技术解决方案如今依然发挥作用的还有多少?而且,网络犯罪日渐复杂和险恶。我们如何能指望一个20多年前的过时解决方案在2018年仍然奏效?

作为董事会成员,你拥有公司重要数据库的访问权,时刻面临着安全证书遭受攻击的风险。由于你可能没有设置足够的安全级别,攻击者往往能够准确地猜到你的密码。而一旦你因密码被盗遭受攻击,且你在多个网站都使用同一密码,那你就要万分警惕了。你的大多数私密个人资料,包括银行账户、投资理财等都将陷于被盗风险。

接下来该怎么办?

首先,你不能把密码当作你唯一的防御手段。你应该至少设置双因子验证,或者更实际一点,采用多因子验证的方法。这种验证方法可以有三个层面的意思:你知道的事情、你的身份以及你有哪些东西。密码可以列为“你知道的事情”一项。如果你愿意继续使用密码并将其看作进行安全防护的措施,你就应该花费一点时间对其进行严密管理,不要总是使用同一词组或者字符。

除此之外,生物识别技术作为一类验证方法早已广泛应用,其可列为“你的身份”一项中。如果你使用的手机是iPhone 5S或者更高的版本,你就可以使用Touch ID指纹识别技术,你就可以知道这项技术使用起来有多么简单,生物识别技术现在有多么平常了。通常情况下,密码+生物识别这样的双因子验证已经足够,但业内最佳实践正在逐渐倾向于使用多因子验证,这其中就包括“你有哪些东西”,比如安全令牌。

身为企业高管或者董事会成员,一定要时刻保持警惕。如果贵企业只要求输入密码,一定要对这个问题重视起来,如有必要,拒绝使用那些存有隐患的平台。如果其他高管也同样认为网络安全防护很重要,那么安全团队很可能也乐于做出相应调整。

网络是否安全取决于木桶效应中的那根最短板,而你并不想成为这一最薄弱的环节。所以在密码之外,一定要对网络设置验证保护,而且一定要用双因子或多因子验证方式,要确保这种验证方式能够成为企业的标准实践。所有风险都不容小觑。

作者:Palo Alto Networks副总裁及亚太区首席安全总监Sean Duca

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章