您的位置: 首頁 >科技 >

密碼的終結(jié) 行業(yè)專家探索各種可能性和挑戰(zhàn)

2020-04-15 09:13:17 編輯: 來源:
導(dǎo)讀 密碼管理是最終用戶和IT管理員的禍根,但有很多選擇可以充分利用體驗(yàn),減少頭痛。 幾位行業(yè)專家討論了密碼的挑戰(zhàn)和解決方案。 我們與在線密碼管理提供商1Password的首席運(yùn)營官馬特·戴維(MattDavey)、安全解決方案提供商Radware的安全研究主管丹尼爾·史密斯(Daniel Smith)、虛擬安全平臺(tái)VMware CarbonBlack的主要安全策略師里克·麥克羅伊(Rick McE

密碼管理是最終用戶和IT管理員的禍根,但有很多選擇可以充分利用體驗(yàn),減少頭痛。 幾位行業(yè)專家討論了密碼的挑戰(zhàn)和解決方案。

我們與在線密碼管理提供商1Password的首席運(yùn)營官馬特·戴維(MattDavey)、安全解決方案提供商Radware的安全研究主管丹尼爾·史密斯(Daniel Smith)、虛擬安全平臺(tái)VMware CarbonBlack的主要安全策略師里克·麥克羅伊(Rick McElroy)、安全解決方案提供商BTB Security的首席信息安全顧問馬特·威爾遜(Matt Wilson)、CISSP的本·古德曼全球業(yè)務(wù)和公司發(fā)展高級(jí)副總裁本·古德曼(Ben Goodman)進(jìn)行了交談。

賽:網(wǎng)絡(luò)安全:讓我們得到戰(zhàn)術(shù)(免費(fèi)PD F)(技術(shù)共和國)斯科特·馬泰森:密碼目前面臨的挑戰(zhàn)是什么?

馬特·戴維:多年來,我們一直依賴密碼來安全地訪問我們?nèi)粘J褂玫膽?yīng)用程序和服務(wù),無論是在家里還是在工作中。 今天,隨著這些服務(wù)中的許多轉(zhuǎn)移到云中,漏洞變得越來越大和頻繁,密碼身份驗(yàn)證甚至更加關(guān)鍵,特別是對(duì)企業(yè)來說。

這不太可能改變。 盡管無密碼身份驗(yàn)證如生物識(shí)別和單點(diǎn)登錄(SSO)的興起,密碼仍然為任何應(yīng)用程序或服務(wù)提供了一個(gè)重要的安全基礎(chǔ)層。 無密碼形式的身份驗(yàn)證都有自己的問題或漏洞,所以如果其他方法失敗,密碼是您的最后防線。 據(jù)網(wǎng)絡(luò)安全公司估計(jì),到2020年,至少將有1000億人密碼。

最大的挑戰(zhàn)是讓工人遵守現(xiàn)代密碼要求-對(duì)他們?cè)L問的每個(gè)帳戶或服務(wù)使用強(qiáng)大的、獨(dú)特的密碼。 這在一定程度上取決于教育,但主要問題是密碼過載;有太多的長、復(fù)雜和獨(dú)特的密碼要記住。 為了克服這一點(diǎn),工人通常會(huì)在多個(gè)站點(diǎn)上使用相同的密碼,這使得企業(yè)容易受到攻擊。 如果一個(gè)看似不重要的平臺(tái)被破壞,它可能會(huì)使它們?cè)谑褂玫卿浽敿?xì)信息的任何地方都容易受到攻擊。

另一個(gè)困擾企業(yè)密碼安全的挑戰(zhàn)是影子IT,員工使用第三方應(yīng)用程序和服務(wù),以更有效地完成他們的工作,而不讓他們的IT部門知道。 例如,Carlos在營銷中開設(shè)了一個(gè)可操作的帳戶,或Anita在法律上使用Grammarly檢查語法錯(cuò)誤。 當(dāng)員工繼續(xù)發(fā)現(xiàn)他們自己的“生產(chǎn)力黑客”時(shí),他們無意中會(huì)產(chǎn)生漏洞,比如看不見的密碼,他們的IT部門對(duì)此一無所知或無法控制。

馬特·威爾遜:在越來越多的設(shè)備上管理許多帳戶的挫折感是真實(shí)的,當(dāng)人類感到沮喪時(shí),我們有時(shí)會(huì)試圖通過做出糟糕的權(quán)衡來解決這個(gè)問題,而不承認(rèn)我們正在這樣做。 一段時(shí)間以來,我們知道“認(rèn)證者”只有幾個(gè)類別:你擁有的東西(例如借記卡)、你知道的東西(例如密碼/密碼)、你是的東西(例如指紋)和你所做的事情(例如事情(例如,每周五使用取款機(jī))。 記住密碼是大多數(shù)人證明自己身份的最簡單的方法,因?yàn)樵谶^去的25年里,在線服務(wù)已經(jīng)爆炸。

自從第一個(gè)密碼誕生以來,我們一直在努力解決同樣的問題;選擇強(qiáng)的、唯一的、密碼、記住和存儲(chǔ)它們,并定期更改它們。

人們選擇壞的密碼并通過多個(gè)帳戶共享它們,原因很簡單:它更容易記住。 隨著攻擊者開發(fā)和改進(jìn)他們的工具集,他們?cè)黾恿斯粑覀儙舻哪芰Α?他們的攻擊速度,猜測(cè)的數(shù)量,掩蓋他們的位置/身份的能力,以及他們?yōu)楦玫夭聹y(cè)而開發(fā)的“智能”,使得保護(hù)我們的帳戶比以往任何時(shí)候都更加困難。

Rick McElroy:過去20年收集的數(shù)據(jù)表明,您對(duì)密碼復(fù)雜性和輪換的要求越高,用戶就越有可能寫下密碼并增加組織中的服務(wù)臺(tái)門票數(shù)量。 這將影響員工的生產(chǎn)力。 使用密碼和在前門使用標(biāo)準(zhǔn)鑰匙一樣過時(shí)。 當(dāng)然,它是鎖定的,但有人可以復(fù)制鑰匙或選擇鎖,仍然可以訪問。 在一個(gè)移動(dòng)應(yīng)用程序和網(wǎng)站“記住密碼”認(rèn)證可能成為用戶令人沮喪的體驗(yàn)的世界。 幾年前,NIST發(fā)布并更改了密碼指南,基本上扭轉(zhuǎn)了他們對(duì)推薦密碼強(qiáng)度和輪換之間時(shí)間的立場(chǎng)。

SEE:密碼管理政策的好處(技術(shù)共和國)

多年來,密碼和用戶名一直是認(rèn)證用戶的主要方法。 然而,隨著用戶為社交媒體配置文件、電子郵件地址、金融服務(wù)門戶、在線游戲配置文件、公司應(yīng)用程序等創(chuàng)建更多帳戶,用戶選擇在所有或大多數(shù)登錄中重用相同的密碼和用戶名組合,以節(jié)省記住多組憑據(jù)的痛苦。 即使有密碼管理器,仍然有一個(gè)密碼和用戶名組合被用來登錄到應(yīng)用程序,這意味著它仍然可以被一個(gè)壞的參與者攻擊。

除此之外,即使組織選擇為客戶和員工進(jìn)行頻繁的密碼重置,用戶仍然可以選擇在不同配置文件上使用的密碼。 這種做法也很昂貴,因?yàn)榇笮徒M織每年可以花費(fèi)100萬$,以方便完全重置密碼。 連續(xù)的密碼重置也使可怕的用戶體驗(yàn)。

最后,即使用戶被迫創(chuàng)建或更改其當(dāng)前密碼,以包括多種類型的字符,數(shù)百萬人仍然選擇使用弱口令,如“123456”和“密碼1”,甚至“qwerty”。

密碼重用對(duì)所有用戶及其雇主造成重大風(fēng)險(xiǎn)。 這是因?yàn)槟軌蛟L問一個(gè)用戶的一組被盜登錄憑據(jù)的威脅行為者可以重用該密碼和用戶名,以滲透具有更敏感數(shù)據(jù)的帳戶,包括財(cái)務(wù)、醫(yī)療或?qū)I(yè)帳戶。 因此,每五個(gè)全球數(shù)據(jù)漏洞中有四個(gè)是由弱密碼或被盜密碼造成的,這并不奇怪。

斯科特·馬泰森:有什么補(bǔ)救辦法?

馬特·戴維:要解決這種情況,企業(yè)必須解決密碼過載的問題。 最好的解決方案是實(shí)現(xiàn)管理系統(tǒng),就像密碼管理器一樣。 這樣,員工就不再需要記住許多強(qiáng)大的、獨(dú)特的密碼-系統(tǒng)會(huì)為他們記住所有的密碼。

安全需要方便。 人類自然會(huì)走阻力最小的道路,因此讓員工很容易地創(chuàng)建和使用強(qiáng)大的密碼。 當(dāng)它成為他們工作流程的一部分時(shí),良好的安全習(xí)慣最終將成為第二性。 否則,員工將回到不安全的工作中,比如重復(fù)使用密碼。

教育和創(chuàng)造一個(gè)員工感到舒適的環(huán)境,詢問有關(guān)企業(yè)安全的問題也很重要。 不要因?yàn)槿说膲櫬涠H低人——人們會(huì)犯錯(cuò)誤。 如果你知道安全問題的出現(xiàn),你可以迅速采取行動(dòng),以解決最初的威脅,并采取措施防止它在未來發(fā)生。

丹尼爾·史密斯:密碼衛(wèi)生是當(dāng)今組織和個(gè)人用戶面臨的最大問題之一。

解決密碼衛(wèi)生問題的最簡單方法之一是使用密碼管理器和使用多因素身份驗(yàn)證。 使用密碼管理器自然會(huì)鼓勵(lì)用戶不要重復(fù)使用密碼,消費(fèi)者和企業(yè)都有很多用戶友好的選項(xiàng)。 多因素認(rèn)證只是為訪問任何帳戶創(chuàng)建一個(gè)額外的步驟,并且可能是阻止不必要的訪問所需的障礙。

SEE:前5名密碼替代品(技術(shù)共和國)

公司,甚至學(xué)校,可以做更多的工作來幫助教育和為用戶提供培訓(xùn)。 說到密碼安全,用戶是你的第一道防線.. 如果他們的證書被泄露了,你的公司就會(huì)有一段糟糕的時(shí)光。 當(dāng)涉及到用戶的憑據(jù)時(shí),安全和培訓(xùn)過程需要積極主動(dòng),鼓勵(lì)在開始時(shí)保持強(qiáng)大的密碼衛(wèi)生。

馬特·威爾遜:多年來,信息安全專業(yè)人員一直在為用戶提供良好的密碼習(xí)慣方面的咨詢,并鼓勵(lì)他們采用密碼,但成功有限。 這個(gè)行業(yè)已經(jīng)走上了一條更容易使用的解決方案的道路,更好的習(xí)慣正在形成,但良好的習(xí)慣需要時(shí)間來回報(bào)。 大多數(shù)用戶應(yīng)該選擇一種有效的密碼生成方法,但最重要的是,它對(duì)他們有用。 流行漫畫XK CD完美地捕捉了正確的心態(tài)。

理想情況下,每個(gè)帳戶都將使用唯一和強(qiáng)大的密碼。 許多攻擊者利用密碼猜測(cè)列表,其中包括在過去幾年中從許多漏洞中獲取的密碼。 然而,按風(fēng)險(xiǎn)水平分組賬戶是一種合理的權(quán)衡.. 例如,用戶可能有一個(gè)獨(dú)特的,強(qiáng)大的密碼為他們的網(wǎng)上銀行帳戶,但分享一個(gè)相當(dāng)強(qiáng)大的密碼在多個(gè)個(gè)人帳戶在業(yè)余論壇。

里克·麥克羅伊:行為和持續(xù)認(rèn)證是關(guān)鍵。 此外,離開一個(gè)可以被黑客攻擊的身份中心商店。 區(qū)塊鏈在識(shí)別和認(rèn)證方面有一定的前景,但項(xiàng)目仍在進(jìn)行和建設(shè)中。 任何未來的安全認(rèn)證項(xiàng)目都必須包含多個(gè)因素。 任何靜態(tài)的身份驗(yàn)證系統(tǒng)(意味著它依賴于一個(gè)因素)本質(zhì)上是不安全的,并且沒有完全解決問題。 多因素認(rèn)證有很長的路要走..

SEE:信息圖表:密碼死亡(技術(shù)共和國)

斯科特·馬泰森:我們還應(yīng)該做什么?

馬特·戴維:我們需要找到方法,通過自動(dòng)密碼解決方案來贏得我們和IT的時(shí)間。 IT專業(yè)人員將20%的時(shí)間花在密碼上,這是他們時(shí)間中效率最低的一種。 將IT從監(jiān)控和管理密碼安全中解放出來,可以使它們成為使能者,而不是管理員。

然而,你不能阻止人們?cè)诠ぷ髦惺褂盟麄冃枰墓ぞ摺?企業(yè)需要在員工的需求和安全之間找到妥協(xié),否則,他們就有扼殺生產(chǎn)力的風(fēng)險(xiǎn)。

馬特·威爾遜:任何人都可以使用密碼管理器。 密碼管理器非常簡單,有些甚至是免費(fèi)的,可以通過生成和存儲(chǔ)強(qiáng)大和獨(dú)特的密碼來鼓勵(lì)良好的密碼創(chuàng)建習(xí)慣。 網(wǎng)絡(luò)瀏覽器越來越多地包含了這一功能,像iOS、Android、MacOS和Windows這樣的主要操作系統(tǒng)具有相同的功能。 最后,多因素認(rèn)證(M FA)可以提供另一層認(rèn)證.. 一些MFA實(shí)現(xiàn)存在已知的問題,攻擊者在某些情況下找到了解決方案,但使用MFA仍然是一種強(qiáng)有力的實(shí)踐。

斯科特·馬特森:將來什么會(huì)取代密碼問題?

馬特·戴維:盡管越來越多地采用無密碼認(rèn)證,但個(gè)人和企業(yè)在未來仍然可能需要密碼。

最流行的方法,如使用應(yīng)用程序、網(wǎng)站或電子郵件帳戶進(jìn)行身份驗(yàn)證,都需要一個(gè)密碼才能最初登錄。 這些方法在重復(fù)使用密碼方面也有類似的風(fēng)險(xiǎn);如果你的應(yīng)用程序或電子郵件被泄露,那么攻擊者就可以訪問你所有的帳戶。

SEE:5個(gè)最黑的密碼(科技共和國)

未來將帶來更多的安全特性,如單點(diǎn)登錄(SSO)和更廣泛地采用生物識(shí)別技術(shù),然而,這些帶來了額外的挑戰(zhàn)。 SSO提供了一個(gè)安全的解決方案,但它只支持可用服務(wù)的一小部分。

有30,000個(gè)商業(yè)應(yīng)用程序,每天都有更多的在線應(yīng)用程序。 例如,今天只有6000人與主要的SSO公司合并。

隔離使用的生物計(jì)量認(rèn)證存在重大缺陷。 如果您的面部識(shí)別或指紋數(shù)據(jù)被盜,您將再次遇到與密碼重用相同的問題;攻擊者可以使用該數(shù)據(jù)訪問使用生物識(shí)別技術(shù)進(jìn)行身份驗(yàn)證的其他帳戶。 但是,更令人擔(dān)憂的是,你不能只是重置你的生物特征,就像你想要一個(gè)密碼-它們是永久的。

當(dāng)作為驗(yàn)證身份的第二個(gè)因素時(shí),生物識(shí)別、電子郵件和第三方應(yīng)用程序是有效的,但不是認(rèn)證的主要手段。 最安全的方法是企業(yè)在密碼之上層無密碼身份驗(yàn)證,所以如果一個(gè)防御失敗,總是有備份。

馬特·威爾遜:對(duì)簡單密碼的一些改進(jìn)已經(jīng)存在,但需要增加對(duì)流行操作系統(tǒng)內(nèi)置的密碼管理器的采用。 聯(lián)合認(rèn)證服務(wù),如蘋果、Face book、微軟和谷歌(舉幾個(gè)例子),是另一個(gè)可以減少密碼雜亂的數(shù)量,使最終用戶感到沮喪的工具。

在某種程度上,生物識(shí)別技術(shù)用于交易和特權(quán)操作(例如,蘋果的觸摸ID用于手機(jī)和筆記本電腦)。 長期以來,生物識(shí)別技術(shù)一直被認(rèn)為是密碼的徹底、完整的替換,但仍有缺點(diǎn)和隱私考慮有待解決。

用戶行為分析已經(jīng)成為許多身份驗(yàn)證系統(tǒng)的評(píng)分因素,并且隨著每個(gè)用戶的數(shù)據(jù)集的增長,它在檢測(cè)潛在惡意異常方面的有用性也將隨之增加。

里克·麥爾羅伊:短期來看,它看起來像手和指紋生物標(biāo)志物,雙因素認(rèn)證與移動(dòng)設(shè)備,在一個(gè)后世界,面部識(shí)別將比以往任何時(shí)候更快地推出。 在未來的某個(gè)時(shí)候,DNA可能會(huì)被用來驗(yàn)證醫(yī)學(xué)領(lǐng)域的身份,但可能不會(huì)應(yīng)用于當(dāng)前的筆記本電腦和Windows登錄。 從長遠(yuǎn)來看,我可以看到一個(gè)未來,在那里可以使用心跳和腦電波等綜合測(cè)量。 這些類型的識(shí)別系統(tǒng)已經(jīng)在戰(zhàn)場(chǎng)上進(jìn)行測(cè)試,以確保逮捕正確的罪犯和叛亂分子,并保護(hù)無辜的生命。 我不會(huì)震驚地看到這種部署在未來的某個(gè)時(shí)刻。

SEE:黑客攻擊世界衛(wèi)生組織企圖竊取密碼(科技共和國)

本·古德曼:密碼應(yīng)該成為過去。 如今,各組織可以利用能夠提供無密碼用戶之旅的技術(shù)來解決密碼帶來的挑戰(zhàn)。 通過采用無密碼方法,組織為用戶提供無摩擦、安全的數(shù)字體驗(yàn)。 通過使用生物識(shí)別或推送通知,各組織可以將用戶在智能手機(jī)上體驗(yàn)到的毫不費(fèi)力的身份驗(yàn)證,包括蘋果或三星超聲波指紋掃描儀的Face ID技術(shù),帶到每個(gè)數(shù)字觸摸點(diǎn),同時(shí)確保安全。

作為智能身份驗(yàn)證策略的一部分,無密碼身份驗(yàn)證可以通過推動(dòng)可疑用戶進(jìn)行額外驗(yàn)證來提高客戶體驗(yàn)并確保安全性的未來防訪問。

加特納預(yù)測(cè),到2022年,60%的大型和全球企業(yè)以及90%的中型企業(yè)將在50%以上的用例中實(shí)施無密碼方法。 然而,組織不需要等待解決密碼問題:如果您選擇正確的解決方案,今天就可以進(jìn)行無密碼身份驗(yàn)證。


免責(zé)聲明:本文由用戶上傳,如有侵權(quán)請(qǐng)聯(lián)系刪除!

最新文章

精彩推薦

圖文推薦

點(diǎn)擊排行

2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號(hào):閩ICP備19027007號(hào)-6

本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。