密碼的終結(jié) 行業(yè)專家探索各種可能性和挑戰(zhàn)

密碼管理是最終用戶和IT管理員的禍根，但有很多選擇可以充分利用體驗，減少頭痛。 幾位行業(yè)專家討論了密碼的挑戰(zhàn)和解決方案。

我們與在線密碼管理提供商1Password的首席運營官馬特·戴維(MattDavey)、安全解決方案提供商Radware的安全研究主管丹尼爾·史密斯(Daniel Smith)、虛擬安全平臺VMware CarbonBlack的主要安全策略師里克·麥克羅伊(Rick McElroy)、安全解決方案提供商BTB Security的首席信息安全顧問馬特·威爾遜(Matt Wilson)、CISSP的本·古德曼全球業(yè)務(wù)和公司發(fā)展高級副總裁本·古德曼(Ben Goodman)進(jìn)行了交談。

賽：網(wǎng)絡(luò)安全：讓我們得到戰(zhàn)術(shù)(免費PD F)（技術(shù)共和國）斯科特·馬泰森：密碼目前面臨的挑戰(zhàn)是什么？

馬特·戴維：多年來，我們一直依賴密碼來安全地訪問我們?nèi)粘Ｊ褂玫膽?yīng)用程序和服務(wù)，無論是在家里還是在工作中。 今天，隨著這些服務(wù)中的許多轉(zhuǎn)移到云中，漏洞變得越來越大和頻繁，密碼身份驗證甚至更加關(guān)鍵，特別是對企業(yè)來說。

這不太可能改變。 盡管無密碼身份驗證如生物識別和單點登錄(SSO)的興起，密碼仍然為任何應(yīng)用程序或服務(wù)提供了一個重要的安全基礎(chǔ)層。 無密碼形式的身份驗證都有自己的問題或漏洞，所以如果其他方法失敗，密碼是您的最后防線。 據(jù)網(wǎng)絡(luò)安全公司估計，到2020年，至少將有1000億人密碼。

最大的挑戰(zhàn)是讓工人遵守現(xiàn)代密碼要求-對他們訪問的每個帳戶或服務(wù)使用強(qiáng)大的、獨特的密碼。 這在一定程度上取決于教育，但主要問題是密碼過載；有太多的長、復(fù)雜和獨特的密碼要記住。 為了克服這一點，工人通常會在多個站點上使用相同的密碼，這使得企業(yè)容易受到攻擊。 如果一個看似不重要的平臺被破壞，它可能會使它們在使用登錄詳細(xì)信息的任何地方都容易受到攻擊。

另一個困擾企業(yè)密碼安全的挑戰(zhàn)是影子IT，員工使用第三方應(yīng)用程序和服務(wù)，以更有效地完成他們的工作，而不讓他們的IT部門知道。 例如，Carlos在營銷中開設(shè)了一個可操作的帳戶，或Anita在法律上使用Grammarly檢查語法錯誤。 當(dāng)員工繼續(xù)發(fā)現(xiàn)他們自己的“生產(chǎn)力黑客”時，他們無意中會產(chǎn)生漏洞，比如看不見的密碼，他們的IT部門對此一無所知或無法控制。

馬特·威爾遜：在越來越多的設(shè)備上管理許多帳戶的挫折感是真實的，當(dāng)人類感到沮喪時，我們有時會試圖通過做出糟糕的權(quán)衡來解決這個問題，而不承認(rèn)我們正在這樣做。 一段時間以來，我們知道“認(rèn)證者”只有幾個類別：你擁有的東西（例如借記卡)、你知道的東西(例如密碼/密碼)、你是的東西(例如指紋)和你所做的事情(例如事情(例如，每周五使用取款機(jī)）。 記住密碼是大多數(shù)人證明自己身份的最簡單的方法，因為在過去的25年里，在線服務(wù)已經(jīng)爆炸。

自從第一個密碼誕生以來，我們一直在努力解決同樣的問題；選擇強(qiáng)的、唯一的、密碼、記住和存儲它們，并定期更改它們。

人們選擇壞的密碼并通過多個帳戶共享它們，原因很簡單：它更容易記住。 隨著攻擊者開發(fā)和改進(jìn)他們的工具集，他們增加了攻擊我們帳戶的能力。 他們的攻擊速度，猜測的數(shù)量，掩蓋他們的位置/身份的能力，以及他們?yōu)楦玫夭聹y而開發(fā)的“智能”，使得保護(hù)我們的帳戶比以往任何時候都更加困難。

Rick McElroy：過去20年收集的數(shù)據(jù)表明，您對密碼復(fù)雜性和輪換的要求越高，用戶就越有可能寫下密碼并增加組織中的服務(wù)臺門票數(shù)量。 這將影響員工的生產(chǎn)力。 使用密碼和在前門使用標(biāo)準(zhǔn)鑰匙一樣過時。 當(dāng)然，它是鎖定的，但有人可以復(fù)制鑰匙或選擇鎖，仍然可以訪問。 在一個移動應(yīng)用程序和網(wǎng)站“記住密碼”認(rèn)證可能成為用戶令人沮喪的體驗的世界。 幾年前，NIST發(fā)布并更改了密碼指南，基本上扭轉(zhuǎn)了他們對推薦密碼強(qiáng)度和輪換之間時間的立場。

SEE：密碼管理政策的好處（技術(shù)共和國）

多年來，密碼和用戶名一直是認(rèn)證用戶的主要方法。 然而，隨著用戶為社交媒體配置文件、電子郵件地址、金融服務(wù)門戶、在線游戲配置文件、公司應(yīng)用程序等創(chuàng)建更多帳戶，用戶選擇在所有或大多數(shù)登錄中重用相同的密碼和用戶名組合，以節(jié)省記住多組憑據(jù)的痛苦。 即使有密碼管理器，仍然有一個密碼和用戶名組合被用來登錄到應(yīng)用程序，這意味著它仍然可以被一個壞的參與者攻擊。

除此之外，即使組織選擇為客戶和員工進(jìn)行頻繁的密碼重置，用戶仍然可以選擇在不同配置文件上使用的密碼。 這種做法也很昂貴，因為大型組織每年可以花費100萬$，以方便完全重置密碼。 連續(xù)的密碼重置也使可怕的用戶體驗。

最后，即使用戶被迫創(chuàng)建或更改其當(dāng)前密碼，以包括多種類型的字符，數(shù)百萬人仍然選擇使用弱口令，如“123456”和“密碼1”，甚至“qwerty”。

密碼重用對所有用戶及其雇主造成重大風(fēng)險。 這是因為能夠訪問一個用戶的一組被盜登錄憑據(jù)的威脅行為者可以重用該密碼和用戶名，以滲透具有更敏感數(shù)據(jù)的帳戶，包括財務(wù)、醫(yī)療或?qū)I(yè)帳戶。 因此，每五個全球數(shù)據(jù)漏洞中有四個是由弱密碼或被盜密碼造成的，這并不奇怪。

斯科特·馬泰森：有什么補(bǔ)救辦法？

馬特·戴維：要解決這種情況，企業(yè)必須解決密碼過載的問題。 最好的解決方案是實現(xiàn)管理系統(tǒng)，就像密碼管理器一樣。 這樣，員工就不再需要記住許多強(qiáng)大的、獨特的密碼-系統(tǒng)會為他們記住所有的密碼。

安全需要方便。 人類自然會走阻力最小的道路，因此讓員工很容易地創(chuàng)建和使用強(qiáng)大的密碼。 當(dāng)它成為他們工作流程的一部分時，良好的安全習(xí)慣最終將成為第二性。 否則，員工將回到不安全的工作中，比如重復(fù)使用密碼。

教育和創(chuàng)造一個員工感到舒適的環(huán)境，詢問有關(guān)企業(yè)安全的問題也很重要。 不要因為人的墮落而貶低人——人們會犯錯誤。 如果你知道安全問題的出現(xiàn)，你可以迅速采取行動，以解決最初的威脅，并采取措施防止它在未來發(fā)生。

丹尼爾·史密斯：密碼衛(wèi)生是當(dāng)今組織和個人用戶面臨的最大問題之一。

解決密碼衛(wèi)生問題的最簡單方法之一是使用密碼管理器和使用多因素身份驗證。 使用密碼管理器自然會鼓勵用戶不要重復(fù)使用密碼，消費者和企業(yè)都有很多用戶友好的選項。 多因素認(rèn)證只是為訪問任何帳戶創(chuàng)建一個額外的步驟，并且可能是阻止不必要的訪問所需的障礙。

SEE：前5名密碼替代品（技術(shù)共和國）

公司，甚至學(xué)校，可以做更多的工作來幫助教育和為用戶提供培訓(xùn)。 說到密碼安全，用戶是你的第一道防線.. 如果他們的證書被泄露了，你的公司就會有一段糟糕的時光。 當(dāng)涉及到用戶的憑據(jù)時，安全和培訓(xùn)過程需要積極主動，鼓勵在開始時保持強(qiáng)大的密碼衛(wèi)生。

馬特·威爾遜：多年來，信息安全專業(yè)人員一直在為用戶提供良好的密碼習(xí)慣方面的咨詢，并鼓勵他們采用密碼，但成功有限。 這個行業(yè)已經(jīng)走上了一條更容易使用的解決方案的道路，更好的習(xí)慣正在形成，但良好的習(xí)慣需要時間來回報。 大多數(shù)用戶應(yīng)該選擇一種有效的密碼生成方法，但最重要的是，它對他們有用。 流行漫畫XK CD完美地捕捉了正確的心態(tài)。

理想情況下，每個帳戶都將使用唯一和強(qiáng)大的密碼。 許多攻擊者利用密碼猜測列表，其中包括在過去幾年中從許多漏洞中獲取的密碼。 然而，按風(fēng)險水平分組賬戶是一種合理的權(quán)衡.. 例如，用戶可能有一個獨特的，強(qiáng)大的密碼為他們的網(wǎng)上銀行帳戶，但分享一個相當(dāng)強(qiáng)大的密碼在多個個人帳戶在業(yè)余論壇。

里克·麥克羅伊：行為和持續(xù)認(rèn)證是關(guān)鍵。 此外，離開一個可以被黑客攻擊的身份中心商店。 區(qū)塊鏈在識別和認(rèn)證方面有一定的前景，但項目仍在進(jìn)行和建設(shè)中。 任何未來的安全認(rèn)證項目都必須包含多個因素。 任何靜態(tài)的身份驗證系統(tǒng)（意味著它依賴于一個因素）本質(zhì)上是不安全的，并且沒有完全解決問題。 多因素認(rèn)證有很長的路要走..

SEE：信息圖表：密碼死亡（技術(shù)共和國）

斯科特·馬泰森：我們還應(yīng)該做什么？

馬特·戴維：我們需要找到方法，通過自動密碼解決方案來贏得我們和IT的時間。 IT專業(yè)人員將20%的時間花在密碼上，這是他們時間中效率最低的一種。 將IT從監(jiān)控和管理密碼安全中解放出來，可以使它們成為使能者，而不是管理員。

然而，你不能阻止人們在工作中使用他們需要的工具。 企業(yè)需要在員工的需求和安全之間找到妥協(xié)，否則，他們就有扼殺生產(chǎn)力的風(fēng)險。

馬特·威爾遜：任何人都可以使用密碼管理器。 密碼管理器非常簡單，有些甚至是免費的，可以通過生成和存儲強(qiáng)大和獨特的密碼來鼓勵良好的密碼創(chuàng)建習(xí)慣。 網(wǎng)絡(luò)瀏覽器越來越多地包含了這一功能，像iOS、Android、MacOS和Windows這樣的主要操作系統(tǒng)具有相同的功能。 最后，多因素認(rèn)證(M FA)可以提供另一層認(rèn)證.. 一些MFA實現(xiàn)存在已知的問題，攻擊者在某些情況下找到了解決方案，但使用MFA仍然是一種強(qiáng)有力的實踐。

斯科特·馬特森：將來什么會取代密碼問題？

馬特·戴維：盡管越來越多地采用無密碼認(rèn)證，但個人和企業(yè)在未來仍然可能需要密碼。

最流行的方法，如使用應(yīng)用程序、網(wǎng)站或電子郵件帳戶進(jìn)行身份驗證，都需要一個密碼才能最初登錄。 這些方法在重復(fù)使用密碼方面也有類似的風(fēng)險；如果你的應(yīng)用程序或電子郵件被泄露，那么攻擊者就可以訪問你所有的帳戶。

SEE：5個最黑的密碼（科技共和國）

未來將帶來更多的安全特性，如單點登錄(SSO)和更廣泛地采用生物識別技術(shù)，然而，這些帶來了額外的挑戰(zhàn)。 SSO提供了一個安全的解決方案，但它只支持可用服務(wù)的一小部分。

有30,000個商業(yè)應(yīng)用程序，每天都有更多的在線應(yīng)用程序。 例如，今天只有6000人與主要的SSO公司合并。

隔離使用的生物計量認(rèn)證存在重大缺陷。 如果您的面部識別或指紋數(shù)據(jù)被盜，您將再次遇到與密碼重用相同的問題；攻擊者可以使用該數(shù)據(jù)訪問使用生物識別技術(shù)進(jìn)行身份驗證的其他帳戶。 但是，更令人擔(dān)憂的是，你不能只是重置你的生物特征，就像你想要一個密碼-它們是永久的。

當(dāng)作為驗證身份的第二個因素時，生物識別、電子郵件和第三方應(yīng)用程序是有效的，但不是認(rèn)證的主要手段。 最安全的方法是企業(yè)在密碼之上層無密碼身份驗證，所以如果一個防御失敗，總是有備份。

馬特·威爾遜：對簡單密碼的一些改進(jìn)已經(jīng)存在，但需要增加對流行操作系統(tǒng)內(nèi)置的密碼管理器的采用。 聯(lián)合認(rèn)證服務(wù)，如蘋果、Face book、微軟和谷歌（舉幾個例子），是另一個可以減少密碼雜亂的數(shù)量，使最終用戶感到沮喪的工具。

在某種程度上，生物識別技術(shù)用于交易和特權(quán)操作(例如，蘋果的觸摸ID用于手機(jī)和筆記本電腦)。 長期以來，生物識別技術(shù)一直被認(rèn)為是密碼的徹底、完整的替換，但仍有缺點和隱私考慮有待解決。

用戶行為分析已經(jīng)成為許多身份驗證系統(tǒng)的評分因素，并且隨著每個用戶的數(shù)據(jù)集的增長，它在檢測潛在惡意異常方面的有用性也將隨之增加。

里克·麥爾羅伊：短期來看，它看起來像手和指紋生物標(biāo)志物，雙因素認(rèn)證與移動設(shè)備，在一個后世界，面部識別將比以往任何時候更快地推出。 在未來的某個時候，DNA可能會被用來驗證醫(yī)學(xué)領(lǐng)域的身份，但可能不會應(yīng)用于當(dāng)前的筆記本電腦和Windows登錄。 從長遠(yuǎn)來看，我可以看到一個未來，在那里可以使用心跳和腦電波等綜合測量。 這些類型的識別系統(tǒng)已經(jīng)在戰(zhàn)場上進(jìn)行測試，以確保逮捕正確的罪犯和叛亂分子，并保護(hù)無辜的生命。 我不會震驚地看到這種部署在未來的某個時刻。

SEE：黑客攻擊世界衛(wèi)生組織企圖竊取密碼（科技共和國）

本·古德曼：密碼應(yīng)該成為過去。 如今，各組織可以利用能夠提供無密碼用戶之旅的技術(shù)來解決密碼帶來的挑戰(zhàn)。 通過采用無密碼方法，組織為用戶提供無摩擦、安全的數(shù)字體驗。 通過使用生物識別或推送通知，各組織可以將用戶在智能手機(jī)上體驗到的毫不費力的身份驗證，包括蘋果或三星超聲波指紋掃描儀的Face ID技術(shù)，帶到每個數(shù)字觸摸點，同時確保安全。

作為智能身份驗證策略的一部分，無密碼身份驗證可以通過推動可疑用戶進(jìn)行額外驗證來提高客戶體驗并確保安全性的未來防訪問。

加特納預(yù)測，到2022年，60%的大型和全球企業(yè)以及90%的中型企業(yè)將在50%以上的用例中實施無密碼方法。 然而，組織不需要等待解決密碼問題：如果您選擇正確的解決方案，今天就可以進(jìn)行無密碼身份驗證。