密码是保护我们最有价值的数据访问权的主要手段,但它们已经变得几乎完全无用,再也不能阻止黑客和恶作剧。
在现代计算环境中,有许多密码问题。我们不再登录单个主机,而是在多个平台上使用多个应用程序,这意味着我们不得不记住太多的密码。这导致人们使用像1234这样愚蠢的密码,或者在多个网站使用相同的密码,而人们甚至没有试图保护自己。
想象一下,你有了一台新设备,想要登录到脸书或其他喜欢的在线服务。如果你像我一样在不同的网站使用不同的密码,那么你可能会忘记你的密码。你可以像我一样随时点击“忘记密码”按钮,但这意味着你必须更改所有设备上的密码。这是一个可怕的系统。
我经常遇到这个问题,我确信我不是唯一的一个。显然,我们需要一个更好的方法。
这么多密码
放置在数据库中的静态密码可能是人们为确保安全而想出的最愚蠢的主意。一次又一次的黑客攻击向我们表明,一旦一个足智多谋的(或者更不聪明的)黑客找到了入侵数据库的方法,获得这些密码就像是在搜索什么东西。这是一笔巨大的财富,也是黑客梦寐以求的东西。
2012年的一项民意调查发现,41%的人记住了他们心中的密码,29%的人记下了密码,9%的人将密码存储在他们的电脑上。这些都不是理想的选择。
2012年的另一项调查发现,普通人有17个个人密码和8.5个工作密码。从那以后,这些数字很可能有所增加。如果您使用多个不同的密码,记住超过25个密码是一项困难的任务。
市场上也有一些服务——比如Ping Identity和okta——试图通过单点登录来简化密码的使用,并取得了不同程度的成功。该方案适合企业用户,但并不能真正帮助消费者。
我们可以使用密码管理器来帮助我们记住密码,但正如您所知,密码管理器本身也受密码保护。这意味着,如果有人入侵密码管理器,他们可以得到你的“所有”密码。今年早些时候,拉斯帕斯确实发生了这样的事件。
不管你用了多少密码,也不管你有多小心,在过去的两年里,你的一些密码很可能在许多黑客攻击中被泄露。
大楼倒塌了。
我们已经看到这样的故事来来回回。这些数据泄露已经被刻在互联网的耻辱墙上。从Target到Sony,从Anthem到OPM,我们已经看到这样大规模的数据泄露事件一再发生。随着每次攻击的爆发,更多的密码进入了黑客的黑市。
当然,这些攻击并不都是由于设置了错误的密码,但黑客并不难破解或使用恶意软件来窃取密码,他们甚至不需要使用从那些大规模攻击中泄露的密码资源。一旦黑客侵入系统,他们就有更复杂的方法开始窃取各种数据。
通用催化剂公司董事总经理史蒂夫·赫罗德表示,该公司已经向许多安全公司提供了财务支持,包括Ping Identity、Menlo Security和Threatstream。问题是,在某种程度上,该公司对其数据库中的数据没有很好的控制。
“高层必须有人启动数据清单。这是我拥有的数据库。听到它被攻破会有多糟糕。”希律王问。一旦你知道自己拥有什么,你就能更好地保护公司皇冠上的珠宝。他说,问题是保护系统并不总是以最高优先级的数据为目标。
为用户减轻负担
事情是这样的:保护数据的负担不应该由我们的用户来承担。让互联网公司开始思考如何简化安全措施,让用户可以更轻松、更方便地使用它们,同时让坏人更难窃取身份凭证。这真的取决于拥有这些公司的聪明人。他们把时间花在这上面,这肯定比想办法更好地向我们展示广告要好得多——只是说说而已。
现有的系统经常将责任转移给用户,这使得消费者和员工的生活很痛苦。用户需要每30天更换一次密码。他们不能复制密码。它们使用大写和小写字母,至少包含两个数字和一个符号。这真是一项艰苦的工作。它迫使用户记住不自然的密码,并导致他们采用不安全的记忆方法,例如将密码写在笔记上并粘贴在显示器上,甚至使用像密码本这样明目张胆的方法。
关键是要找到一种方法来确保个人信息的安全,而不打扰用户,同时让黑客很难(理想情况下不可能)窃取。这要求我们使用自动改变的动态密码,或者生物认证技术,如指纹或眼球扫描。值得一提的是,我的手指和眼睛永远与我同在。我一点也不会忘记它们,而且你也不必把扫描的信息存储在数据库里。身份验证信息可以在系统级别进行交互,使得其他人无法访问它(除了一些我不想想象的可怕场景)。大多数设备已经安装了可用于眼睛扫描的摄像头,而许多其他设备也配备了指纹扫描仪。
当然,没有什么是万无一失的,但我们当然需要一个比目前更好的解决方案。密码不再起作用,它完全把责任转移给了用户,这与理想的系统运行状态背道而驰。即使你擅长管理密码——老实说,我不认为大多数人能做到——一旦数据库被攻破,那就没有意义了。你可以设置这个星球上最好的密码,一旦有人偷了它,密码就不再属于你了。
因此,我敦促所有智能工程师和安全专家集思广益,为我们找到更好的方法。一定有更好的方法。
对每个人都好,是时候取消密码了。