密碼防護時過境遷，專家呼吁更安全的多因子驗證

  據華爾街日報近日發布的一篇文章介紹，曾被譽為密碼管理“圣經”的作者Bill Burr推翻自我論斷，直言密碼已不再是一級安全防線。Burr在其2003年寫就的報告中建議用戶使用數字、非字母符號及大寫字母創建密碼，并經常更換密碼以增強安全性。而今，Burr向華爾街日報承認，他當年的建議是錯誤的，為此深表歉意。

我們必須感謝Bill的坦誠。然而，盡管如此，密碼在當下的安全領域仍然發揮著重要作用，但卻無法獨立保障絕對安全。 舉例來說，如果你是一家或多家公司的董事會成員，你肯定會忙得腳不沾地，沒有精力管理各個網站和應用軟件使用的多個不同密碼。而一旦你在多個網站使用相同或相似的密碼，或者僅僅使用密碼作為資料讀取和身份驗證的手段，你的企業以及你個人都將陷于身份被盜或重大的安全漏洞隱患當中。 顯然，密碼是首要，有時甚至是唯一的安全防線這種理念已經逐漸動搖。當然，密碼仍占有一席之地，但卻不宜孤立使用。我們都知道，密碼是在20多年前才開始流行起來，當時，互聯網開始普及，電子郵件逐漸成為人際和商務溝通的主要手段。你只要想一想，20多年前開發的技術解決方案如今依然發揮作用的還有多少?而且，網絡犯罪日漸復雜和險惡。我們如何能指望一個20多年前的過時解決方案在2018年仍然奏效? 作為董事會成員，你擁有公司重要數據庫的訪問權，時刻面臨著安全證書遭受攻擊的風險。由于你可能沒有設置足夠的安全級別，攻擊者往往能夠準確地猜到你的密碼。而一旦你因密碼被盜遭受攻擊，且你在多個網站都使用同一密碼，那你就要萬分警惕了。你的大多數私密個人資料，包括銀行賬戶、投資理財等都將陷于被盜風險。 那么，接下來該怎么辦? 首先，你不能把密碼當作你唯一的防御手段。你應該至少設置雙因子驗證，或者更實際一點，采用多因子驗證的方法。這種驗證方法可以有三個層面的意思：你知道的事情、你的身份以及你有哪些東西。密碼可以列為“你知道的事情”一項。如果你愿意繼續使用密碼并將其看作進行安全防護的措施，你就應該花費一點時間對其進行嚴密管理，不要總是使用同一詞組或者字符。 除此之外，生物識別技術作為一類驗證方法早已廣泛應用，其可列為“你的身份”一項中。如果你使用的手機是iPhone 5S或者更高的版本，你就可以使用Touch ID指紋識別技術，你就可以知道這項技術使用起來有多么簡單，生物識別技術現在有多么平常了。通常情況下，密碼+生物識別這樣的雙因子驗證已經足夠，但業內最佳實踐正在逐漸傾向于使用多因子驗證，這其中就包括“你有哪些東西”，比如安全令牌。 身為企業高管或者董事會成員，一定要時刻保持警惕。如果貴企業只要求輸入密碼，一定要對這個問題重視起來，如有必要，拒絕使用那些存有隱患的平臺。如果其他高管也同樣認為網絡安全防護很重要，那么安全團隊很可能也樂于做出相應調整。 網絡是否安全取決于木桶效應中的那根最短板，而你并不想成為這一最薄弱的環節。所以在密碼之外，一定要對網絡設置驗證保護，而且一定要用雙因子或多因子驗證方式，要確保這種驗證方式能夠成為企業的標準實踐。所有風險都不容小覷。 來源：51CTO.com