密碼的終結 行業(yè)專家探索各種可能性和挑戰(zhàn)

密碼管理是最終用戶和IT管理員的禍根，但有很多選擇可以充分利用體驗，減少頭痛。 幾位行業(yè)專家討論了密碼的挑戰(zhàn)和解決方案。

我們與在線密碼管理提供商1Password的首席運營官馬特·戴維(MattDavey)、安全解決方案提供商Radware的安全研究主管丹尼爾·史密斯(Daniel Smith)、虛擬安全平臺VMware CarbonBlack的主要安全策略師里克·麥克羅伊(Rick McElroy)、安全解決方案提供商BTB Security的首席信息安全顧問馬特·威爾遜(Matt Wilson)、CISSP的本·古德曼全球業(yè)務和公司發(fā)展高級副總裁本·古德曼(Ben Goodman)進行了交談。

賽：網絡安全：讓我們得到戰(zhàn)術(免費PD F)（技術共和國）斯科特·馬泰森：密碼目前面臨的挑戰(zhàn)是什么？

馬特·戴維：多年來，我們一直依賴密碼來安全地訪問我們日常使用的應用程序和服務，無論是在家里還是在工作中。 今天，隨著這些服務中的許多轉移到云中，漏洞變得越來越大和頻繁，密碼身份驗證甚至更加關鍵，特別是對企業(yè)來說。

這不太可能改變。 盡管無密碼身份驗證如生物識別和單點登錄(SSO)的興起，密碼仍然為任何應用程序或服務提供了一個重要的安全基礎層。 無密碼形式的身份驗證都有自己的問題或漏洞，所以如果其他方法失敗，密碼是您的最后防線。 據網絡安全公司估計，到2020年，至少將有1000億人密碼。

最大的挑戰(zhàn)是讓工人遵守現(xiàn)代密碼要求-對他們訪問的每個帳戶或服務使用強大的、獨特的密碼。 這在一定程度上取決于教育，但主要問題是密碼過載；有太多的長、復雜和獨特的密碼要記住。 為了克服這一點，工人通常會在多個站點上使用相同的密碼，這使得企業(yè)容易受到攻擊。 如果一個看似不重要的平臺被破壞，它可能會使它們在使用登錄詳細信息的任何地方都容易受到攻擊。

另一個困擾企業(yè)密碼安全的挑戰(zhàn)是影子IT，員工使用第三方應用程序和服務，以更有效地完成他們的工作，而不讓他們的IT部門知道。 例如，Carlos在營銷中開設了一個可操作的帳戶，或Anita在法律上使用Grammarly檢查語法錯誤。 當員工繼續(xù)發(fā)現(xiàn)他們自己的“生產力黑客”時，他們無意中會產生漏洞，比如看不見的密碼，他們的IT部門對此一無所知或無法控制。

馬特·威爾遜：在越來越多的設備上管理許多帳戶的挫折感是真實的，當人類感到沮喪時，我們有時會試圖通過做出糟糕的權衡來解決這個問題，而不承認我們正在這樣做。 一段時間以來，我們知道“認證者”只有幾個類別：你擁有的東西（例如借記卡)、你知道的東西(例如密碼/密碼)、你是的東西(例如指紋)和你所做的事情(例如事情(例如，每周五使用取款機）。 記住密碼是大多數(shù)人證明自己身份的最簡單的方法，因為在過去的25年里，在線服務已經爆炸。

自從第一個密碼誕生以來，我們一直在努力解決同樣的問題；選擇強的、唯一的、密碼、記住和存儲它們，并定期更改它們。

人們選擇壞的密碼并通過多個帳戶共享它們，原因很簡單：它更容易記住。 隨著攻擊者開發(fā)和改進他們的工具集，他們增加了攻擊我們帳戶的能力。 他們的攻擊速度，猜測的數(shù)量，掩蓋他們的位置/身份的能力，以及他們?yōu)楦玫夭聹y而開發(fā)的“智能”，使得保護我們的帳戶比以往任何時候都更加困難。

Rick McElroy：過去20年收集的數(shù)據表明，您對密碼復雜性和輪換的要求越高，用戶就越有可能寫下密碼并增加組織中的服務臺門票數(shù)量。 這將影響員工的生產力。 使用密碼和在前門使用標準鑰匙一樣過時。 當然，它是鎖定的，但有人可以復制鑰匙或選擇鎖，仍然可以訪問。 在一個移動應用程序和網站“記住密碼”認證可能成為用戶令人沮喪的體驗的世界。 幾年前，NIST發(fā)布并更改了密碼指南，基本上扭轉了他們對推薦密碼強度和輪換之間時間的立場。

SEE：密碼管理政策的好處（技術共和國）

多年來，密碼和用戶名一直是認證用戶的主要方法。 然而，隨著用戶為社交媒體配置文件、電子郵件地址、金融服務門戶、在線游戲配置文件、公司應用程序等創(chuàng)建更多帳戶，用戶選擇在所有或大多數(shù)登錄中重用相同的密碼和用戶名組合，以節(jié)省記住多組憑據的痛苦。 即使有密碼管理器，仍然有一個密碼和用戶名組合被用來登錄到應用程序，這意味著它仍然可以被一個壞的參與者攻擊。

除此之外，即使組織選擇為客戶和員工進行頻繁的密碼重置，用戶仍然可以選擇在不同配置文件上使用的密碼。 這種做法也很昂貴，因為大型組織每年可以花費100萬$，以方便完全重置密碼。 連續(xù)的密碼重置也使可怕的用戶體驗。

最后，即使用戶被迫創(chuàng)建或更改其當前密碼，以包括多種類型的字符，數(shù)百萬人仍然選擇使用弱口令，如“123456”和“密碼1”，甚至“qwerty”。

密碼重用對所有用戶及其雇主造成重大風險。 這是因為能夠訪問一個用戶的一組被盜登錄憑據的威脅行為者可以重用該密碼和用戶名，以滲透具有更敏感數(shù)據的帳戶，包括財務、醫(yī)療或專業(yè)帳戶。 因此，每五個全球數(shù)據漏洞中有四個是由弱密碼或被盜密碼造成的，這并不奇怪。

斯科特·馬泰森：有什么補救辦法？

馬特·戴維：要解決這種情況，企業(yè)必須解決密碼過載的問題。 最好的解決方案是實現(xiàn)管理系統(tǒng)，就像密碼管理器一樣。 這樣，員工就不再需要記住許多強大的、獨特的密碼-系統(tǒng)會為他們記住所有的密碼。

安全需要方便。 人類自然會走阻力最小的道路，因此讓員工很容易地創(chuàng)建和使用強大的密碼。 當它成為他們工作流程的一部分時，良好的安全習慣最終將成為第二性。 否則，員工將回到不安全的工作中，比如重復使用密碼。

教育和創(chuàng)造一個員工感到舒適的環(huán)境，詢問有關企業(yè)安全的問題也很重要。 不要因為人的墮落而貶低人——人們會犯錯誤。 如果你知道安全問題的出現(xiàn)，你可以迅速采取行動，以解決最初的威脅，并采取措施防止它在未來發(fā)生。

丹尼爾·史密斯：密碼衛(wèi)生是當今組織和個人用戶面臨的最大問題之一。

解決密碼衛(wèi)生問題的最簡單方法之一是使用密碼管理器和使用多因素身份驗證。 使用密碼管理器自然會鼓勵用戶不要重復使用密碼，消費者和企業(yè)都有很多用戶友好的選項。 多因素認證只是為訪問任何帳戶創(chuàng)建一個額外的步驟，并且可能是阻止不必要的訪問所需的障礙。

SEE：前5名密碼替代品（技術共和國）

公司，甚至學校，可以做更多的工作來幫助教育和為用戶提供培訓。 說到密碼安全，用戶是你的第一道防線.. 如果他們的證書被泄露了，你的公司就會有一段糟糕的時光。 當涉及到用戶的憑據時，安全和培訓過程需要積極主動，鼓勵在開始時保持強大的密碼衛(wèi)生。

馬特·威爾遜：多年來，信息安全專業(yè)人員一直在為用戶提供良好的密碼習慣方面的咨詢，并鼓勵他們采用密碼，但成功有限。 這個行業(yè)已經走上了一條更容易使用的解決方案的道路，更好的習慣正在形成，但良好的習慣需要時間來回報。 大多數(shù)用戶應該選擇一種有效的密碼生成方法，但最重要的是，它對他們有用。 流行漫畫XK CD完美地捕捉了正確的心態(tài)。

理想情況下，每個帳戶都將使用唯一和強大的密碼。 許多攻擊者利用密碼猜測列表，其中包括在過去幾年中從許多漏洞中獲取的密碼。 然而，按風險水平分組賬戶是一種合理的權衡.. 例如，用戶可能有一個獨特的，強大的密碼為他們的網上銀行帳戶，但分享一個相當強大的密碼在多個個人帳戶在業(yè)余論壇。

里克·麥克羅伊：行為和持續(xù)認證是關鍵。 此外，離開一個可以被黑客攻擊的身份中心商店。 區(qū)塊鏈在識別和認證方面有一定的前景，但項目仍在進行和建設中。 任何未來的安全認證項目都必須包含多個因素。 任何靜態(tài)的身份驗證系統(tǒng)（意味著它依賴于一個因素）本質上是不安全的，并且沒有完全解決問題。 多因素認證有很長的路要走..

SEE：信息圖表：密碼死亡（技術共和國）

斯科特·馬泰森：我們還應該做什么？

馬特·戴維：我們需要找到方法，通過自動密碼解決方案來贏得我們和IT的時間。 IT專業(yè)人員將20%的時間花在密碼上，這是他們時間中效率最低的一種。 將IT從監(jiān)控和管理密碼安全中解放出來，可以使它們成為使能者，而不是管理員。

然而，你不能阻止人們在工作中使用他們需要的工具。 企業(yè)需要在員工的需求和安全之間找到妥協(xié)，否則，他們就有扼殺生產力的風險。

馬特·威爾遜：任何人都可以使用密碼管理器。 密碼管理器非常簡單，有些甚至是免費的，可以通過生成和存儲強大和獨特的密碼來鼓勵良好的密碼創(chuàng)建習慣。 網絡瀏覽器越來越多地包含了這一功能，像iOS、Android、MacOS和Windows這樣的主要操作系統(tǒng)具有相同的功能。 最后，多因素認證(M FA)可以提供另一層認證.. 一些MFA實現(xiàn)存在已知的問題，攻擊者在某些情況下找到了解決方案，但使用MFA仍然是一種強有力的實踐。

斯科特·馬特森：將來什么會取代密碼問題？

馬特·戴維：盡管越來越多地采用無密碼認證，但個人和企業(yè)在未來仍然可能需要密碼。

最流行的方法，如使用應用程序、網站或電子郵件帳戶進行身份驗證，都需要一個密碼才能最初登錄。 這些方法在重復使用密碼方面也有類似的風險；如果你的應用程序或電子郵件被泄露，那么攻擊者就可以訪問你所有的帳戶。

SEE：5個最黑的密碼（科技共和國）

未來將帶來更多的安全特性，如單點登錄(SSO)和更廣泛地采用生物識別技術，然而，這些帶來了額外的挑戰(zhàn)。 SSO提供了一個安全的解決方案，但它只支持可用服務的一小部分。

有30,000個商業(yè)應用程序，每天都有更多的在線應用程序。 例如，今天只有6000人與主要的SSO公司合并。

隔離使用的生物計量認證存在重大缺陷。 如果您的面部識別或指紋數(shù)據被盜，您將再次遇到與密碼重用相同的問題；攻擊者可以使用該數(shù)據訪問使用生物識別技術進行身份驗證的其他帳戶。 但是，更令人擔憂的是，你不能只是重置你的生物特征，就像你想要一個密碼-它們是永久的。

當作為驗證身份的第二個因素時，生物識別、電子郵件和第三方應用程序是有效的，但不是認證的主要手段。 最安全的方法是企業(yè)在密碼之上層無密碼身份驗證，所以如果一個防御失敗，總是有備份。

馬特·威爾遜：對簡單密碼的一些改進已經存在，但需要增加對流行操作系統(tǒng)內置的密碼管理器的采用。 聯(lián)合認證服務，如蘋果、Face book、微軟和谷歌（舉幾個例子），是另一個可以減少密碼雜亂的數(shù)量，使最終用戶感到沮喪的工具。

在某種程度上，生物識別技術用于交易和特權操作(例如，蘋果的觸摸ID用于手機和筆記本電腦)。 長期以來，生物識別技術一直被認為是密碼的徹底、完整的替換，但仍有缺點和隱私考慮有待解決。

用戶行為分析已經成為許多身份驗證系統(tǒng)的評分因素，并且隨著每個用戶的數(shù)據集的增長，它在檢測潛在惡意異常方面的有用性也將隨之增加。

里克·麥爾羅伊：短期來看，它看起來像手和指紋生物標志物，雙因素認證與移動設備，在一個后世界，面部識別將比以往任何時候更快地推出。 在未來的某個時候，DNA可能會被用來驗證醫(yī)學領域的身份，但可能不會應用于當前的筆記本電腦和Windows登錄。 從長遠來看，我可以看到一個未來，在那里可以使用心跳和腦電波等綜合測量。 這些類型的識別系統(tǒng)已經在戰(zhàn)場上進行測試，以確保逮捕正確的罪犯和叛亂分子，并保護無辜的生命。 我不會震驚地看到這種部署在未來的某個時刻。

SEE：黑客攻擊世界衛(wèi)生組織企圖竊取密碼（科技共和國）

本·古德曼：密碼應該成為過去。 如今，各組織可以利用能夠提供無密碼用戶之旅的技術來解決密碼帶來的挑戰(zhàn)。 通過采用無密碼方法，組織為用戶提供無摩擦、安全的數(shù)字體驗。 通過使用生物識別或推送通知，各組織可以將用戶在智能手機上體驗到的毫不費力的身份驗證，包括蘋果或三星超聲波指紋掃描儀的Face ID技術，帶到每個數(shù)字觸摸點，同時確保安全。

作為智能身份驗證策略的一部分，無密碼身份驗證可以通過推動可疑用戶進行額外驗證來提高客戶體驗并確保安全性的未來防訪問。

加特納預測，到2022年，60%的大型和全球企業(yè)以及90%的中型企業(yè)將在50%以上的用例中實施無密碼方法。 然而，組織不需要等待解決密碼問題：如果您選擇正確的解決方案，今天就可以進行無密碼身份驗證。