回归最本质的信息安全

传统的密码还有救吗?

2016年8月23日发布

2,824
0
0

导语:一段特殊的字符串——密码,一直伴随着我们,是保护我们个人和敏感数据的一种方式。越来越多的网站要求输入密码以进行身份验证,我们对密码的依赖程度很高。

一段特殊的字符串——密码,一直伴随着我们,是保护我们个人和敏感数据的一种方式。越来越多的网站要求输入密码以进行身份验证,我们对密码的依赖程度很高。老生常谈的话是“用更强的密码保护您的数据”。但这句话其实是错的,为什么你认为你会一串键盘字符背后是安全的?

传统的密码是有着高安全风险的。当数据库被泄露,就会像发生在摩根大通(76万用户),Adobe公司(36万用户)和eBay(145万用户)那样,黑客主要针对的就是密码。即使密码以“哈希”的形式加密存储,这些家伙仍然能够获得包含这些哈希密码数据库。一旦黑客获得密码,他就有可能尝试对几个热门网站和应用程序撞库来获取你的更多信息。

我们是怎么获得的密码?

只要你在网上或在应用程序中输入您的个人信息,你有可能泄漏密码。黑客破解你的数字生活实在是太容易了。如果我想控制你的电子邮件帐户,我需要做的仅仅是去的电子邮件帐户提供商,输入你的名字,或者出生地等,当然这些信息是在谷歌一应俱全,当我成功重置您的密码,你的就是我的!

从你的电子邮件帐户,我可以继续接管你的网上银行帐户。我需要做的是搜索有关“银行”的电子邮件。从那里我能得到你看到所有的网上交易。同样,我可以登录到你的网上银行账号和重置您的密码,并完全控制你的银行账户。在不到30分钟,黑客可以很容易地把你的整个数字生活的完全控制 – 你的信用卡,SS号,亚马逊,eBay,Netflix公司,Verizon公司,贝宝帐户。

但是这些家伙是怎么获得我们的密码呢?很简单,钓鱼。他们模仿一个受欢迎的网站,并要求人们进入登录详细信息。在这里,他们将不必理会破解您的密码,你会“自愿”提供给他们。

比网络钓鱼更糟糕的是使用恶意软件。这是一种安装在您的计算机上,使用键盘记录器监视你的击键,查看在您的计算机中没有做隐藏的知识和工作资料的恶意程序。他们主要针对大型企业的网络控制权。

安全VS方便

除了使用字符作为密码字符串的固有风险,用户必须为数十家网站和应用程序记住用户名和密码。尤其是当你在不同的网站使用不同的用户名和不同的密码,这是非常令人沮丧的。我曾亲自修改密码无数次,直到我糊涂了:这个密码适用于什么样的网站或应用程序?在最近的调查显示,超过一半的受访者首选非传统的密码。

替代传统的密码

传统密码的使用率将在未来几年内继续下降。因此如果我们不使用密码了,那什么东西能够替代密码?我们仍然需要某种形式的安全性和认证来保护我们。我们必须找到一种兼有安全性和便利性的认证方式。

现在生物特征验证正在微妙的成为我们的个人和公司信息提供保护和安全的方法。指纹,面部识别,语音识别等逐渐成为主流。但是有个问题,这些方法是否可以部署在任何环境任何设备上?

我们也可以使用被动认证方法配合生物识别技术。这种被动的方法包括试图识别您的Wi-F或者蓝牙连接。您也可以选择使用社交媒体帐户登录。所有这些行动都是在您的完全控制之下。这些“多因子认证”过程是为您的存储的数据提供额外的保护层所必要的。

想象一下,如果你可以部署这个多因素身份验证到你的个人设备,这样即使黑客拥有了设备但是没有你的面部和指纹,他们仍然不能访问你的数据。现在 “设备认证”已经是一个现实。每当有人试图访问您的数据,必须提供与设备内置的特性相符合的认证。

总结

随着技术的不断进步,会有比传统密码更方便、更安全、更有保护性的方法出现,传统密码很有可能日落西山。

​本文翻译于infosecinstitute,如若转载,请注明来源于嘶吼: http://www.4hou.com/info/observation/2464.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

暗地月光

暗地月光

嘶吼编辑

发私信

发表评论