密碼的終結(jié) 行業(yè)專家探索各種可能性和挑戰(zhàn)

密碼管理是最終用戶和IT管理員的禍根，但有很多選擇可以充分利用體驗(yàn)，減少頭痛。 幾位行業(yè)專家討論了密碼的挑戰(zhàn)和解決方案。

我們與在線密碼管理提供商1Password的首席運(yùn)營(yíng)官馬特·戴維(MattDavey)、安全解決方案提供商Radware的安全研究主管丹尼爾·史密斯(Daniel Smith)、虛擬安全平臺(tái)VMware CarbonBlack的主要安全策略師里克·麥克羅伊(Rick McElroy)、安全解決方案提供商BTB Security的首席信息安全顧問馬特·威爾遜(Matt Wilson)、CISSP的本·古德曼全球業(yè)務(wù)和公司發(fā)展高級(jí)副總裁本·古德曼(Ben Goodman)進(jìn)行了交談。

賽：網(wǎng)絡(luò)安全：讓我們得到戰(zhàn)術(shù)(免費(fèi)PD F)（技術(shù)共和國(guó)）斯科特·馬泰森：密碼目前面臨的挑戰(zhàn)是什么？

馬特·戴維：多年來，我們一直依賴密碼來安全地訪問我們?nèi)粘Ｊ褂玫膽?yīng)用程序和服務(wù)，無論是在家里還是在工作中。 今天，隨著這些服務(wù)中的許多轉(zhuǎn)移到云中，漏洞變得越來越大和頻繁，密碼身份驗(yàn)證甚至更加關(guān)鍵，特別是對(duì)企業(yè)來說。

這不太可能改變。 盡管無密碼身份驗(yàn)證如生物識(shí)別和單點(diǎn)登錄(SSO)的興起，密碼仍然為任何應(yīng)用程序或服務(wù)提供了一個(gè)重要的安全基礎(chǔ)層。 無密碼形式的身份驗(yàn)證都有自己的問題或漏洞，所以如果其他方法失敗，密碼是您的最后防線。 據(jù)網(wǎng)絡(luò)安全公司估計(jì)，到2020年，至少將有1000億人密碼。

最大的挑戰(zhàn)是讓工人遵守現(xiàn)代密碼要求-對(duì)他們?cè)L問的每個(gè)帳戶或服務(wù)使用強(qiáng)大的、獨(dú)特的密碼。 這在一定程度上取決于教育，但主要問題是密碼過載；有太多的長(zhǎng)、復(fù)雜和獨(dú)特的密碼要記住。 為了克服這一點(diǎn)，工人通常會(huì)在多個(gè)站點(diǎn)上使用相同的密碼，這使得企業(yè)容易受到攻擊。 如果一個(gè)看似不重要的平臺(tái)被破壞，它可能會(huì)使它們?cè)谑褂玫卿浽敿?xì)信息的任何地方都容易受到攻擊。

另一個(gè)困擾企業(yè)密碼安全的挑戰(zhàn)是影子IT，員工使用第三方應(yīng)用程序和服務(wù)，以更有效地完成他們的工作，而不讓他們的IT部門知道。 例如，Carlos在營(yíng)銷中開設(shè)了一個(gè)可操作的帳戶，或Anita在法律上使用Grammarly檢查語法錯(cuò)誤。 當(dāng)員工繼續(xù)發(fā)現(xiàn)他們自己的“生產(chǎn)力黑客”時(shí)，他們無意中會(huì)產(chǎn)生漏洞，比如看不見的密碼，他們的IT部門對(duì)此一無所知或無法控制。

馬特·威爾遜：在越來越多的設(shè)備上管理許多帳戶的挫折感是真實(shí)的，當(dāng)人類感到沮喪時(shí)，我們有時(shí)會(huì)試圖通過做出糟糕的權(quán)衡來解決這個(gè)問題，而不承認(rèn)我們正在這樣做。 一段時(shí)間以來，我們知道“認(rèn)證者”只有幾個(gè)類別：你擁有的東西（例如借記卡)、你知道的東西(例如密碼/密碼)、你是的東西(例如指紋)和你所做的事情(例如事情(例如，每周五使用取款機(jī)）。 記住密碼是大多數(shù)人證明自己身份的最簡(jiǎn)單的方法，因?yàn)樵谶^去的25年里，在線服務(wù)已經(jīng)爆炸。

自從第一個(gè)密碼誕生以來，我們一直在努力解決同樣的問題；選擇強(qiáng)的、唯一的、密碼、記住和存儲(chǔ)它們，并定期更改它們。

人們選擇壞的密碼并通過多個(gè)帳戶共享它們，原因很簡(jiǎn)單：它更容易記住。 隨著攻擊者開發(fā)和改進(jìn)他們的工具集，他們?cè)黾恿斯粑覀儙舻哪芰Α?他們的攻擊速度，猜測(cè)的數(shù)量，掩蓋他們的位置/身份的能力，以及他們?yōu)楦玫夭聹y(cè)而開發(fā)的“智能”，使得保護(hù)我們的帳戶比以往任何時(shí)候都更加困難。

Rick McElroy：過去20年收集的數(shù)據(jù)表明，您對(duì)密碼復(fù)雜性和輪換的要求越高，用戶就越有可能寫下密碼并增加組織中的服務(wù)臺(tái)門票數(shù)量。 這將影響員工的生產(chǎn)力。 使用密碼和在前門使用標(biāo)準(zhǔn)鑰匙一樣過時(shí)。 當(dāng)然，它是鎖定的，但有人可以復(fù)制鑰匙或選擇鎖，仍然可以訪問。 在一個(gè)移動(dòng)應(yīng)用程序和網(wǎng)站“記住密碼”認(rèn)證可能成為用戶令人沮喪的體驗(yàn)的世界。 幾年前，NIST發(fā)布并更改了密碼指南，基本上扭轉(zhuǎn)了他們對(duì)推薦密碼強(qiáng)度和輪換之間時(shí)間的立場(chǎng)。

SEE：密碼管理政策的好處（技術(shù)共和國(guó)）

多年來，密碼和用戶名一直是認(rèn)證用戶的主要方法。 然而，隨著用戶為社交媒體配置文件、電子郵件地址、金融服務(wù)門戶、在線游戲配置文件、公司應(yīng)用程序等創(chuàng)建更多帳戶，用戶選擇在所有或大多數(shù)登錄中重用相同的密碼和用戶名組合，以節(jié)省記住多組憑據(jù)的痛苦。 即使有密碼管理器，仍然有一個(gè)密碼和用戶名組合被用來登錄到應(yīng)用程序，這意味著它仍然可以被一個(gè)壞的參與者攻擊。

除此之外，即使組織選擇為客戶和員工進(jìn)行頻繁的密碼重置，用戶仍然可以選擇在不同配置文件上使用的密碼。 這種做法也很昂貴，因?yàn)榇笮徒M織每年可以花費(fèi)100萬$，以方便完全重置密碼。 連續(xù)的密碼重置也使可怕的用戶體驗(yàn)。

最后，即使用戶被迫創(chuàng)建或更改其當(dāng)前密碼，以包括多種類型的字符，數(shù)百萬人仍然選擇使用弱口令，如“123456”和“密碼1”，甚至“qwerty”。

密碼重用對(duì)所有用戶及其雇主造成重大風(fēng)險(xiǎn)。 這是因?yàn)槟軌蛟L問一個(gè)用戶的一組被盜登錄憑據(jù)的威脅行為者可以重用該密碼和用戶名，以滲透具有更敏感數(shù)據(jù)的帳戶，包括財(cái)務(wù)、醫(yī)療或?qū)I(yè)帳戶。 因此，每五個(gè)全球數(shù)據(jù)漏洞中有四個(gè)是由弱密碼或被盜密碼造成的，這并不奇怪。

斯科特·馬泰森：有什么補(bǔ)救辦法？

馬特·戴維：要解決這種情況，企業(yè)必須解決密碼過載的問題。 最好的解決方案是實(shí)現(xiàn)管理系統(tǒng)，就像密碼管理器一樣。 這樣，員工就不再需要記住許多強(qiáng)大的、獨(dú)特的密碼-系統(tǒng)會(huì)為他們記住所有的密碼。

安全需要方便。 人類自然會(huì)走阻力最小的道路，因此讓員工很容易地創(chuàng)建和使用強(qiáng)大的密碼。 當(dāng)它成為他們工作流程的一部分時(shí)，良好的安全習(xí)慣最終將成為第二性。 否則，員工將回到不安全的工作中，比如重復(fù)使用密碼。

教育和創(chuàng)造一個(gè)員工感到舒適的環(huán)境，詢問有關(guān)企業(yè)安全的問題也很重要。 不要因?yàn)槿说膲櫬涠H低人——人們會(huì)犯錯(cuò)誤。 如果你知道安全問題的出現(xiàn)，你可以迅速采取行動(dòng)，以解決最初的威脅，并采取措施防止它在未來發(fā)生。

丹尼爾·史密斯：密碼衛(wèi)生是當(dāng)今組織和個(gè)人用戶面臨的最大問題之一。

解決密碼衛(wèi)生問題的最簡(jiǎn)單方法之一是使用密碼管理器和使用多因素身份驗(yàn)證。 使用密碼管理器自然會(huì)鼓勵(lì)用戶不要重復(fù)使用密碼，消費(fèi)者和企業(yè)都有很多用戶友好的選項(xiàng)。 多因素認(rèn)證只是為訪問任何帳戶創(chuàng)建一個(gè)額外的步驟，并且可能是阻止不必要的訪問所需的障礙。

SEE：前5名密碼替代品（技術(shù)共和國(guó)）

公司，甚至學(xué)校，可以做更多的工作來幫助教育和為用戶提供培訓(xùn)。 說到密碼安全，用戶是你的第一道防線.. 如果他們的證書被泄露了，你的公司就會(huì)有一段糟糕的時(shí)光。 當(dāng)涉及到用戶的憑據(jù)時(shí)，安全和培訓(xùn)過程需要積極主動(dòng)，鼓勵(lì)在開始時(shí)保持強(qiáng)大的密碼衛(wèi)生。

馬特·威爾遜：多年來，信息安全專業(yè)人員一直在為用戶提供良好的密碼習(xí)慣方面的咨詢，并鼓勵(lì)他們采用密碼，但成功有限。 這個(gè)行業(yè)已經(jīng)走上了一條更容易使用的解決方案的道路，更好的習(xí)慣正在形成，但良好的習(xí)慣需要時(shí)間來回報(bào)。 大多數(shù)用戶應(yīng)該選擇一種有效的密碼生成方法，但最重要的是，它對(duì)他們有用。 流行漫畫XK CD完美地捕捉了正確的心態(tài)。

理想情況下，每個(gè)帳戶都將使用唯一和強(qiáng)大的密碼。 許多攻擊者利用密碼猜測(cè)列表，其中包括在過去幾年中從許多漏洞中獲取的密碼。 然而，按風(fēng)險(xiǎn)水平分組賬戶是一種合理的權(quán)衡.. 例如，用戶可能有一個(gè)獨(dú)特的，強(qiáng)大的密碼為他們的網(wǎng)上銀行帳戶，但分享一個(gè)相當(dāng)強(qiáng)大的密碼在多個(gè)個(gè)人帳戶在業(yè)余論壇。

里克·麥克羅伊：行為和持續(xù)認(rèn)證是關(guān)鍵。 此外，離開一個(gè)可以被黑客攻擊的身份中心商店。 區(qū)塊鏈在識(shí)別和認(rèn)證方面有一定的前景，但項(xiàng)目仍在進(jìn)行和建設(shè)中。 任何未來的安全認(rèn)證項(xiàng)目都必須包含多個(gè)因素。 任何靜態(tài)的身份驗(yàn)證系統(tǒng)（意味著它依賴于一個(gè)因素）本質(zhì)上是不安全的，并且沒有完全解決問題。 多因素認(rèn)證有很長(zhǎng)的路要走..

SEE：信息圖表：密碼死亡（技術(shù)共和國(guó)）

斯科特·馬泰森：我們還應(yīng)該做什么？

馬特·戴維：我們需要找到方法，通過自動(dòng)密碼解決方案來贏得我們和IT的時(shí)間。 IT專業(yè)人員將20%的時(shí)間花在密碼上，這是他們時(shí)間中效率最低的一種。 將IT從監(jiān)控和管理密碼安全中解放出來，可以使它們成為使能者，而不是管理員。

然而，你不能阻止人們?cè)诠ぷ髦惺褂盟麄冃枰墓ぞ摺?企業(yè)需要在員工的需求和安全之間找到妥協(xié)，否則，他們就有扼殺生產(chǎn)力的風(fēng)險(xiǎn)。

馬特·威爾遜：任何人都可以使用密碼管理器。 密碼管理器非常簡(jiǎn)單，有些甚至是免費(fèi)的，可以通過生成和存儲(chǔ)強(qiáng)大和獨(dú)特的密碼來鼓勵(lì)良好的密碼創(chuàng)建習(xí)慣。 網(wǎng)絡(luò)瀏覽器越來越多地包含了這一功能，像iOS、Android、MacOS和Windows這樣的主要操作系統(tǒng)具有相同的功能。 最后，多因素認(rèn)證(M FA)可以提供另一層認(rèn)證.. 一些MFA實(shí)現(xiàn)存在已知的問題，攻擊者在某些情況下找到了解決方案，但使用MFA仍然是一種強(qiáng)有力的實(shí)踐。

斯科特·馬特森：將來什么會(huì)取代密碼問題？

馬特·戴維：盡管越來越多地采用無密碼認(rèn)證，但個(gè)人和企業(yè)在未來仍然可能需要密碼。

最流行的方法，如使用應(yīng)用程序、網(wǎng)站或電子郵件帳戶進(jìn)行身份驗(yàn)證，都需要一個(gè)密碼才能最初登錄。 這些方法在重復(fù)使用密碼方面也有類似的風(fēng)險(xiǎn)；如果你的應(yīng)用程序或電子郵件被泄露，那么攻擊者就可以訪問你所有的帳戶。

SEE：5個(gè)最黑的密碼（科技共和國(guó)）

未來將帶來更多的安全特性，如單點(diǎn)登錄(SSO)和更廣泛地采用生物識(shí)別技術(shù)，然而，這些帶來了額外的挑戰(zhàn)。 SSO提供了一個(gè)安全的解決方案，但它只支持可用服務(wù)的一小部分。

有30,000個(gè)商業(yè)應(yīng)用程序，每天都有更多的在線應(yīng)用程序。 例如，今天只有6000人與主要的SSO公司合并。

隔離使用的生物計(jì)量認(rèn)證存在重大缺陷。 如果您的面部識(shí)別或指紋數(shù)據(jù)被盜，您將再次遇到與密碼重用相同的問題；攻擊者可以使用該數(shù)據(jù)訪問使用生物識(shí)別技術(shù)進(jìn)行身份驗(yàn)證的其他帳戶。 但是，更令人擔(dān)憂的是，你不能只是重置你的生物特征，就像你想要一個(gè)密碼-它們是永久的。

當(dāng)作為驗(yàn)證身份的第二個(gè)因素時(shí)，生物識(shí)別、電子郵件和第三方應(yīng)用程序是有效的，但不是認(rèn)證的主要手段。 最安全的方法是企業(yè)在密碼之上層無密碼身份驗(yàn)證，所以如果一個(gè)防御失敗，總是有備份。

馬特·威爾遜：對(duì)簡(jiǎn)單密碼的一些改進(jìn)已經(jīng)存在，但需要增加對(duì)流行操作系統(tǒng)內(nèi)置的密碼管理器的采用。 聯(lián)合認(rèn)證服務(wù)，如蘋果、Face book、微軟和谷歌（舉幾個(gè)例子），是另一個(gè)可以減少密碼雜亂的數(shù)量，使最終用戶感到沮喪的工具。

在某種程度上，生物識(shí)別技術(shù)用于交易和特權(quán)操作(例如，蘋果的觸摸ID用于手機(jī)和筆記本電腦)。 長(zhǎng)期以來，生物識(shí)別技術(shù)一直被認(rèn)為是密碼的徹底、完整的替換，但仍有缺點(diǎn)和隱私考慮有待解決。

用戶行為分析已經(jīng)成為許多身份驗(yàn)證系統(tǒng)的評(píng)分因素，并且隨著每個(gè)用戶的數(shù)據(jù)集的增長(zhǎng)，它在檢測(cè)潛在惡意異常方面的有用性也將隨之增加。

里克·麥爾羅伊：短期來看，它看起來像手和指紋生物標(biāo)志物，雙因素認(rèn)證與移動(dòng)設(shè)備，在一個(gè)后世界，面部識(shí)別將比以往任何時(shí)候更快地推出。 在未來的某個(gè)時(shí)候，DNA可能會(huì)被用來驗(yàn)證醫(yī)學(xué)領(lǐng)域的身份，但可能不會(huì)應(yīng)用于當(dāng)前的筆記本電腦和Windows登錄。 從長(zhǎng)遠(yuǎn)來看，我可以看到一個(gè)未來，在那里可以使用心跳和腦電波等綜合測(cè)量。 這些類型的識(shí)別系統(tǒng)已經(jīng)在戰(zhàn)場(chǎng)上進(jìn)行測(cè)試，以確保逮捕正確的罪犯和叛亂分子，并保護(hù)無辜的生命。 我不會(huì)震驚地看到這種部署在未來的某個(gè)時(shí)刻。

SEE：黑客攻擊世界衛(wèi)生組織企圖竊取密碼（科技共和國(guó)）

本·古德曼：密碼應(yīng)該成為過去。 如今，各組織可以利用能夠提供無密碼用戶之旅的技術(shù)來解決密碼帶來的挑戰(zhàn)。 通過采用無密碼方法，組織為用戶提供無摩擦、安全的數(shù)字體驗(yàn)。 通過使用生物識(shí)別或推送通知，各組織可以將用戶在智能手機(jī)上體驗(yàn)到的毫不費(fèi)力的身份驗(yàn)證，包括蘋果或三星超聲波指紋掃描儀的Face ID技術(shù)，帶到每個(gè)數(shù)字觸摸點(diǎn)，同時(shí)確保安全。

作為智能身份驗(yàn)證策略的一部分，無密碼身份驗(yàn)證可以通過推動(dòng)可疑用戶進(jìn)行額外驗(yàn)證來提高客戶體驗(yàn)并確保安全性的未來防訪問。

加特納預(yù)測(cè)，到2022年，60%的大型和全球企業(yè)以及90%的中型企業(yè)將在50%以上的用例中實(shí)施無密碼方法。 然而，組織不需要等待解決密碼問題：如果您選擇正確的解決方案，今天就可以進(jìn)行無密碼身份驗(yàn)證。