口令已“死”的困境

2015-08-31 11:34:20 大云網　點擊量：評論 (0)

當今已經是萬物互聯的社會，身份認證無處不在。無論網站、手機應用、筆記本電腦、汽車、酒店門鎖、零售亭、自助取款機，或者游戲主機，安全對所有聯網系統來說都是最基本的。一個最典型的例子就是個人身份證，它

僅僅幾年之間，全球的計算機就從單個計算機組成的孤島世界轉變成為如今由網絡云連接起來的分散群落。不僅計算機相互連通，設備自身及其上運行的各種應用也隨著各自的用戶一起移動。應用不再局限于特定機器或數據中心，它們可以是分布式的、分散的或安裝于本地移動設備上。個人系統或用戶的安全狀況如今可以影響到與它們聯網的系統的安全。

互聯網已經深植于全球文化和商業貿易之中，身份驗證的風險和影響也隨之日益增加。而隨著萬物互聯的逼近，數十億上百億的設備、傳感器和系統都將接入互聯網，不僅僅是安全身份驗證的需求在以指數級增長，安全態勢也在改變。與口令被盜和身份驗證繞過直接相關的安全事件，不僅是在發生頻率上，其后果的嚴重性也在不斷的變本加厲。而更糟糕的是，以往的入侵事件正在造成一種雪球效應，使后續攻擊比它們的前任們更加容易、更快，波及范圍也更廣。

口令的問題

口令不僅僅是使用不當的問題，它們從本質上就不安全，也為未來的設備身份驗證引入了麻煩。

傳統上，聯網系統中用戶身份驗證的主要形式是用戶名和口令組合。最近，強身份驗證的概念開始流行，也就是在口令層面上再加一個附加的身份驗證因素以增加安全保障。但很不幸，無論是口令還是口令之上的強身份驗證在面對今天的安全挑戰之時均不是非解決方案。

隨著我們開始考慮設備互聯的物聯網世界，很容易看出今時今日使用的口令技術與組成我們未來聯網世界的廣大智能對象是多么地不相匹配。密碼向內集中的本質要求用戶向應用輸入憑證。然而，大多數設備，比如傳感器、門鎖和可穿戴設備并沒有附屬鍵盤供人鍵入口令。

雙因子驗證的問題

安全專家一直在建議用強身份驗證補足密碼方式的弱點。雖然強身份驗證的安全性的確優于傳統的口令，但這種通常稱為雙因子身份驗證的傳統方式，并不足夠。