密码的终结 行业专家探索各种可能性和挑战

密码管理是最终用户和IT管理员的祸根，但有很多选择可以充分利用体验，减少头痛。 几位行业专家讨论了密码的挑战和解决方案。

我们与在线密码管理提供商1Password的首席运营官马特·戴维(MattDavey)、安全解决方案提供商Radware的安全研究主管丹尼尔·史密斯(Daniel Smith)、虚拟安全平台VMware CarbonBlack的主要安全策略师里克·麦克罗伊(Rick McElroy)、安全解决方案提供商BTB Security的首席信息安全顾问马特·威尔逊(Matt Wilson)、CISSP的本·古德曼全球业务和公司发展高级副总裁本·古德曼(Ben Goodman)进行了交谈。

赛：网络安全：让我们得到战术(免费PD F)（技术共和国）斯科特·马泰森：密码目前面临的挑战是什么？

马特·戴维：多年来，我们一直依赖密码来安全地访问我们日常使用的应用程序和服务，无论是在家里还是在工作中。 今天，随着这些服务中的许多转移到云中，漏洞变得越来越大和频繁，密码身份验证甚至更加关键，特别是对企业来说。

这不太可能改变。 尽管无密码身份验证如生物识别和单点登录(SSO)的兴起，密码仍然为任何应用程序或服务提供了一个重要的安全基础层。 无密码形式的身份验证都有自己的问题或漏洞，所以如果其他方法失败，密码是您的最后防线。 据网络安全公司估计，到2020年，至少将有1000亿人密码。

最大的挑战是让工人遵守现代密码要求-对他们访问的每个帐户或服务使用强大的、独特的密码。 这在一定程度上取决于教育，但主要问题是密码过载；有太多的长、复杂和独特的密码要记住。 为了克服这一点，工人通常会在多个站点上使用相同的密码，这使得企业容易受到攻击。 如果一个看似不重要的平台被破坏，它可能会使它们在使用登录详细信息的任何地方都容易受到攻击。

另一个困扰企业密码安全的挑战是影子IT，员工使用第三方应用程序和服务，以更有效地完成他们的工作，而不让他们的IT部门知道。 例如，Carlos在营销中开设了一个可操作的帐户，或Anita在法律上使用Grammarly检查语法错误。 当员工继续发现他们自己的“生产力黑客”时，他们无意中会产生漏洞，比如看不见的密码，他们的IT部门对此一无所知或无法控制。

马特·威尔逊：在越来越多的设备上管理许多帐户的挫折感是真实的，当人类感到沮丧时，我们有时会试图通过做出糟糕的权衡来解决这个问题，而不承认我们正在这样做。 一段时间以来，我们知道“认证者”只有几个类别：你拥有的东西（例如借记卡)、你知道的东西(例如密码/密码)、你是的东西(例如指纹)和你所做的事情(例如事情(例如，每周五使用取款机）。 记住密码是大多数人证明自己身份的最简单的方法，因为在过去的25年里，在线服务已经爆炸。

自从第一个密码诞生以来，我们一直在努力解决同样的问题；选择强的、唯一的、密码、记住和存储它们，并定期更改它们。

人们选择坏的密码并通过多个帐户共享它们，原因很简单：它更容易记住。 随着攻击者开发和改进他们的工具集，他们增加了攻击我们帐户的能力。 他们的攻击速度，猜测的数量，掩盖他们的位置/身份的能力，以及他们为更好地猜测而开发的“智能”，使得保护我们的帐户比以往任何时候都更加困难。

Rick McElroy：过去20年收集的数据表明，您对密码复杂性和轮换的要求越高，用户就越有可能写下密码并增加组织中的服务台门票数量。 这将影响员工的生产力。 使用密码和在前门使用标准钥匙一样过时。 当然，它是锁定的，但有人可以复制钥匙或选择锁，仍然可以访问。 在一个移动应用程序和网站“记住密码”认证可能成为用户令人沮丧的体验的世界。 几年前，NIST发布并更改了密码指南，基本上扭转了他们对推荐密码强度和轮换之间时间的立场。

SEE：密码管理政策的好处（技术共和国）

多年来，密码和用户名一直是认证用户的主要方法。 然而，随着用户为社交媒体配置文件、电子邮件地址、金融服务门户、在线游戏配置文件、公司应用程序等创建更多帐户，用户选择在所有或大多数登录中重用相同的密码和用户名组合，以节省记住多组凭据的痛苦。 即使有密码管理器，仍然有一个密码和用户名组合被用来登录到应用程序，这意味着它仍然可以被一个坏的参与者攻击。

除此之外，即使组织选择为客户和员工进行频繁的密码重置，用户仍然可以选择在不同配置文件上使用的密码。 这种做法也很昂贵，因为大型组织每年可以花费100万$，以方便完全重置密码。 连续的密码重置也使可怕的用户体验。

最后，即使用户被迫创建或更改其当前密码，以包括多种类型的字符，数百万人仍然选择使用弱口令，如“123456”和“密码1”，甚至“qwerty”。

密码重用对所有用户及其雇主造成重大风险。 这是因为能够访问一个用户的一组被盗登录凭据的威胁行为者可以重用该密码和用户名，以渗透具有更敏感数据的帐户，包括财务、医疗或专业帐户。 因此，每五个全球数据漏洞中有四个是由弱密码或被盗密码造成的，这并不奇怪。

斯科特·马泰森：有什么补救办法？

马特·戴维：要解决这种情况，企业必须解决密码过载的问题。 最好的解决方案是实现管理系统，就像密码管理器一样。 这样，员工就不再需要记住许多强大的、独特的密码-系统会为他们记住所有的密码。

安全需要方便。 人类自然会走阻力最小的道路，因此让员工很容易地创建和使用强大的密码。 当它成为他们工作流程的一部分时，良好的安全习惯最终将成为第二性。 否则，员工将回到不安全的工作中，比如重复使用密码。

教育和创造一个员工感到舒适的环境，询问有关企业安全的问题也很重要。 不要因为人的堕落而贬低人——人们会犯错误。 如果你知道安全问题的出现，你可以迅速采取行动，以解决最初的威胁，并采取措施防止它在未来发生。

丹尼尔·史密斯：密码卫生是当今组织和个人用户面临的最大问题之一。

解决密码卫生问题的最简单方法之一是使用密码管理器和使用多因素身份验证。 使用密码管理器自然会鼓励用户不要重复使用密码，消费者和企业都有很多用户友好的选项。 多因素认证只是为访问任何帐户创建一个额外的步骤，并且可能是阻止不必要的访问所需的障碍。

SEE：前5名密码替代品（技术共和国）

公司，甚至学校，可以做更多的工作来帮助教育和为用户提供培训。 说到密码安全，用户是你的第一道防线.. 如果他们的证书被泄露了，你的公司就会有一段糟糕的时光。 当涉及到用户的凭据时，安全和培训过程需要积极主动，鼓励在开始时保持强大的密码卫生。

马特·威尔逊：多年来，信息安全专业人员一直在为用户提供良好的密码习惯方面的咨询，并鼓励他们采用密码，但成功有限。 这个行业已经走上了一条更容易使用的解决方案的道路，更好的习惯正在形成，但良好的习惯需要时间来回报。 大多数用户应该选择一种有效的密码生成方法，但最重要的是，它对他们有用。 流行漫画XK CD完美地捕捉了正确的心态。

理想情况下，每个帐户都将使用唯一和强大的密码。 许多攻击者利用密码猜测列表，其中包括在过去几年中从许多漏洞中获取的密码。 然而，按风险水平分组账户是一种合理的权衡.. 例如，用户可能有一个独特的，强大的密码为他们的网上银行帐户，但分享一个相当强大的密码在多个个人帐户在业余论坛。

里克·麦克罗伊：行为和持续认证是关键。 此外，离开一个可以被黑客攻击的身份中心商店。 区块链在识别和认证方面有一定的前景，但项目仍在进行和建设中。 任何未来的安全认证项目都必须包含多个因素。 任何静态的身份验证系统（意味着它依赖于一个因素）本质上是不安全的，并且没有完全解决问题。 多因素认证有很长的路要走..

SEE：信息图表：密码死亡（技术共和国）

斯科特·马泰森：我们还应该做什么？

马特·戴维：我们需要找到方法，通过自动密码解决方案来赢得我们和IT的时间。 IT专业人员将20%的时间花在密码上，这是他们时间中效率最低的一种。 将IT从监控和管理密码安全中解放出来，可以使它们成为使能者，而不是管理员。

然而，你不能阻止人们在工作中使用他们需要的工具。 企业需要在员工的需求和安全之间找到妥协，否则，他们就有扼杀生产力的风险。

马特·威尔逊：任何人都可以使用密码管理器。 密码管理器非常简单，有些甚至是免费的，可以通过生成和存储强大和独特的密码来鼓励良好的密码创建习惯。 网络浏览器越来越多地包含了这一功能，像iOS、Android、MacOS和Windows这样的主要操作系统具有相同的功能。 最后，多因素认证(M FA)可以提供另一层认证.. 一些MFA实现存在已知的问题，攻击者在某些情况下找到了解决方案，但使用MFA仍然是一种强有力的实践。

斯科特·马特森：将来什么会取代密码问题？

马特·戴维：尽管越来越多地采用无密码认证，但个人和企业在未来仍然可能需要密码。

最流行的方法，如使用应用程序、网站或电子邮件帐户进行身份验证，都需要一个密码才能最初登录。 这些方法在重复使用密码方面也有类似的风险；如果你的应用程序或电子邮件被泄露，那么攻击者就可以访问你所有的帐户。

SEE：5个最黑的密码（科技共和国）

未来将带来更多的安全特性，如单点登录(SSO)和更广泛地采用生物识别技术，然而，这些带来了额外的挑战。 SSO提供了一个安全的解决方案，但它只支持可用服务的一小部分。

有30,000个商业应用程序，每天都有更多的在线应用程序。 例如，今天只有6000人与主要的SSO公司合并。

隔离使用的生物计量认证存在重大缺陷。 如果您的面部识别或指纹数据被盗，您将再次遇到与密码重用相同的问题；攻击者可以使用该数据访问使用生物识别技术进行身份验证的其他帐户。 但是，更令人担忧的是，你不能只是重置你的生物特征，就像你想要一个密码-它们是永久的。

当作为验证身份的第二个因素时，生物识别、电子邮件和第三方应用程序是有效的，但不是认证的主要手段。 最安全的方法是企业在密码之上层无密码身份验证，所以如果一个防御失败，总是有备份。

马特·威尔逊：对简单密码的一些改进已经存在，但需要增加对流行操作系统内置的密码管理器的采用。 联合认证服务，如苹果、Face book、微软和谷歌（举几个例子），是另一个可以减少密码杂乱的数量，使最终用户感到沮丧的工具。

在某种程度上，生物识别技术用于交易和特权操作(例如，苹果的触摸ID用于手机和笔记本电脑)。 长期以来，生物识别技术一直被认为是密码的彻底、完整的替换，但仍有缺点和隐私考虑有待解决。

用户行为分析已经成为许多身份验证系统的评分因素，并且随着每个用户的数据集的增长，它在检测潜在恶意异常方面的有用性也将随之增加。

里克·麦尔罗伊：短期来看，它看起来像手和指纹生物标志物，双因素认证与移动设备，在一个后世界，面部识别将比以往任何时候更快地推出。 在未来的某个时候，DNA可能会被用来验证医学领域的身份，但可能不会应用于当前的笔记本电脑和Windows登录。 从长远来看，我可以看到一个未来，在那里可以使用心跳和脑电波等综合测量。 这些类型的识别系统已经在战场上进行测试，以确保逮捕正确的罪犯和叛乱分子，并保护无辜的生命。 我不会震惊地看到这种部署在未来的某个时刻。

SEE：黑客攻击世界卫生组织企图窃取密码（科技共和国）

本·古德曼：密码应该成为过去。 如今，各组织可以利用能够提供无密码用户之旅的技术来解决密码带来的挑战。 通过采用无密码方法，组织为用户提供无摩擦、安全的数字体验。 通过使用生物识别或推送通知，各组织可以将用户在智能手机上体验到的毫不费力的身份验证，包括苹果或三星超声波指纹扫描仪的Face ID技术，带到每个数字触摸点，同时确保安全。

作为智能身份验证策略的一部分，无密码身份验证可以通过推动可疑用户进行额外验证来提高客户体验并确保安全性的未来防访问。

加特纳预测，到2022年，60%的大型和全球企业以及90%的中型企业将在50%以上的用例中实施无密码方法。 然而，组织不需要等待解决密码问题：如果您选择正确的解决方案，今天就可以进行无密码身份验证。