圖片來源:CC0 公共領域。
密碼曾經被認為是對網路犯罪分子的近乎鐵定的防禦,現在正在失寵。
有效的密碼通常需要人工操作,許多使用者無法或根本不願意花時間建立密碼。 許多組織採用了新的安全工具,使用具有各種因素的新興技術,使帳戶和敏感資訊更難滲透。
密碼過期了嗎?政府技術調查了一系列網路安全專家,以確定密碼是否過時。
馬克·韋瑟福德:“如果你在15年前問我這個問題,我會說,'是的,密碼即將消失。 如果你在10年前問我這個問題,我會說。 “是的,它肯定已經到達了最後一英里。 “如果你在五年前問我這個問題,我會說,'現在任何一天。
馬克·韋瑟福德(Mark Weatherford)是國家網路安全中心的首席戰略官。
但現在我不這麼認為,密碼並沒有死。 我們將永遠有密碼。 我認為我們將擁有互補的身份驗證系統,但在許多情況下,密碼將在那裡。
奧馬爾·桑多瓦爾:“我不認為它已經死了,我認為它會永遠存在。 我認為這是讓終端使用者訪問他們需要的資源的最簡單方法。 同樣,因為它太簡單了,這就是為什麼它如此危險。 越來越多的人會要求您使用不同的字元和所有這些東西製作更複雜的密碼。 我也認為他們的壽命會縮短。
它很危險但仍然存在的原因之一是,它為每個人創造了一種簡單的方法來訪問他們需要的東西,但我們犯了乙個錯誤,即對所有內容使用相同的密碼。
Kelly Moan:“密碼已結束。 它本質上是不安全的,因為它通常太弱、太短或旋轉不夠。
約翰·埃文斯:“它可能應該,但它並沒有死。 我們仍然有很多遺留系統可能無法處理遷移到無密碼所需的整合......其中一些可能需要一段時間才能完全免密碼。 任何正在開發的新系統,他們可能都應該考慮通行金鑰或基於風險的身份驗證之類的事情,而不是使用密碼。
Dan Lohrmann:“我認為密碼正在慢慢消亡,但它還沒有消亡。 使用密碼的應用程式仍然太多。 但是,當涉及到銀行賬戶、金融機構和更敏感的資料時,密碼正在緩慢但肯定地消失。
Valesia Stocetti:“真的缺少什麼嗎?我仍然使用我的舊 iPhone 和 iPad。 但我認為對於密碼,它們提供了強大的使用者身份驗證,並且有助於將攻擊者排除在系統之外。 它們仍在許多不同的框架和標準中使用,所以我認為這是乙個跡象,表明網路安全社群還沒有準備好作為乙個整體進行轉變。 但即使是最強的密碼也需要其他保護才能最有效。
Weatherford:“在某些情況下,組織沒有很多資源來應用一些更複雜的替代方案,如生物識別或硬體令牌,密碼可能很好。 我親眼目睹了這一點,我們正在努力提高舊舊系統的密碼安全性,但它不允許您建立超過七個字元的密碼。 因此,我認為在某些情況下,密碼仍將是乙個合乎邏輯的選擇。 也許不是最安全的,但是乙個合乎邏輯的選擇。
桑多瓦爾:“我不這麼認為。 即使是現在,像多因素身份驗證 (MFA) 這樣的事情也被繞過了,因為一旦你能夠進入乙個系統,你就進入了。 我可以生成乙個裝置,將其繫結到乙個人的帳戶,然後我將獲得他們的身份驗證。 密碼永遠不會是工具集中的唯一工具。
呻吟:“總會有一些邊緣用例可能適合密碼作為最安全的選擇,但這在很大程度上取決於它們的長度、複雜性和用例本身。
埃文斯:“我不認為密碼是最安全的選擇,但它們可能是必要的。 許多系統可能無法處理密碼列表、金鑰等所需的整合。 我想不出乙個例子可以說明這是乙個必要但不太可能最安全的選擇。
Lohrmann:“我想不出任何一種情況是最安全的選擇,但仍然有很多情況下它是唯一的選擇。 有密碼總比沒有密碼好。 如果是多因素的,即使他們竊取了密碼,他們也無法進入,因為他們沒有第二個因素。
斯托切蒂:“我認為也許不一定是最安全的,但最實用的。 在某些情況下,需要依賴使用較新裝置的人,並且可能無法所有人都可以使用它。 對於較新的身份驗證方法,我們需要訪問乙個或多個智慧型裝置。 對於那些可能買不起智慧型裝置或無法獲得新技術,或者與朋友或家人共享裝置的人來說,挑戰來了。
Weatherford:“是的,我們將繼續使用傳統密碼和其他補償控制作為密碼的一部分。 MFA現在已經成為相當主流,它是一種完全合乎邏輯和合法的密碼附加控制。
呻吟:“使用傳統密碼的使用者帳戶的百分比要小得多。 它們可以被無密碼登入和金鑰所取代,從而提供更無縫的使用者體驗。
桑多瓦爾:“密碼將繼續是乙個切入點,這是習人們習慣的事情。 密碼是紗門,你可以開啟紗門,它可能被鎖了,也可能沒有鎖,但當你到達門口時,你將需要實際的鑰匙。 這是否等同於 MFA?這是對經過身份驗證和身份驗證的裝置進行的零信任嗎?
埃文斯:“在很多情況下,這可能取決於人。 對於許多人來說,他們可能會在未來五年內看到密碼的完全替代品。 但是在**欄位中,密碼將持續更長的時間......對於大多數人來說,那些主要從事安全**交易的人,如電子商務或醫療保健,我會驚訝地看到這些人中的任何乙個在五年內仍在使用密碼。
Lohrmann:“是的,我認為會有越來越多的人選擇不使用密碼,以及選擇不使用不安全帳戶做生意的人。 有些人會,很多人不會。 例如,我們家中是否還有 Wi-Fi 帳戶的密碼?
Stocchetti:“我認為這取決於這些替代密碼身份驗證方法的採用率。 當然,Microsoft、Google、Amazon Web Services等主要參與者已經在採用其中許多技術,或者他們正計畫轉向更安全的方法。 但較小的公司可能需要更長的時間來適應。 如果需要在州或聯邦層面通過某種監管法律,情況就不同了。 如果有某種規定,這可能是擺脫傳統密碼的最快方法。 當有某種罰款或法律義務這樣做時,這樣做會快得多,而且更安全,我們應該這樣做。 這有點像系安全帶。 密碼已經存在了很多年,因此從使用者的角度來看,我們談論的是行為的巨大轉變。
韋瑟福德:“MFA確實幫助很大,它發生了很大的變化。 生物識別技術越來越好,從指紋和面部識別、虹膜掃瞄、語音識別,甚至打字速度等基本行為模式,應有盡有。 我認為生物識別技術非常好,但問題是它們非常複雜。 有硬體令牌和智慧卡。 我認為我們將看到一些基於區塊鏈的身份驗證,區塊鏈有很多希望。 那裡有一些非常好的選擇,這樣做是有道理的。
就整體使用而言,MFA 脫穎而出,因為它現在已經成熟。 它變得越來越好。 有時這有點煩人,您必須收到一條帶有六位數**的簡訊,並且您有 120 秒的時間輸入此 ** 進行身份驗證。 這很好,非常有效。
呻吟:“通行金鑰、硬體令牌和軟體令牌。
桑多瓦爾:“借助人工智慧,您可以擁有一台機器習顯示系統'嘿,這個帳戶有很多不成功的嘗試'然後它會自動阻止你。 我不知道有終極靈丹妙藥,因為壞人總是在上面,他們可能已經找到了一種方法,可以在我們甚至不知道的情況下使用人工智慧來捕獲我們所有的密碼。
Microsoft 正準備將 AI 安全**釋放到他們的生態系統中。 我認為越來越多的公司會這樣做,以便能夠更實時地做事。 捕獲它的速度將增加,這可能會降低密碼洩露率。
埃文斯:“乙個金鑰、乙個物理裝置或乙個安裝並嵌入到裝置中的加密金鑰,然後需要生物識別技術才能登入該裝置。 基於風險的身份驗證,我會將其新增到一些有前途的替代方案列表中。 代表管理帳戶的組織進行設定,以了解風險較高或更敏感的交易是什麼樣子的。 它與零信任模型相關聯。
如果你想上網檢視你的水費賬單,也許你不需要像你試圖訪問你的銀行賬戶並進行 50,000 美元的轉賬時那樣進行同樣的審查,以確保你是你所說的那個人。 它是基於風險的身份驗證,具體取決於您嘗試訪問的系統的關鍵性或您嘗試執行的事務型別。 如果這是乙個更敏感或更關鍵的交易,我可能希望有乙個更高層次的保證,這個人就是他們所說的那個人。
Lohrmann:“MFA,即一次性密碼。 一次性密碼可以是八位數字或小寫的混合體,您將剪下貼上它,並且很多時候也是定時的。 生物識別技術,例如指紋掃瞄、面部識別、視網膜掃瞄等等。 分享秘密也仍然很受歡迎。 人們也在使用各種新的 CAPTCHA 替代品。
Stocchetti:“一次性密碼,因為它們減少了你對IT支援的需求,所以更難猜到。 組織很容易適應它們。 生物識別技術,即基於指紋的掃瞄、視網膜掃瞄、自適應或行為身份驗證。 系統會提示將金鑰傳送到使用者擁有的裝置,從而允許他們使用 PIN 碼、指紋或面部掃瞄登入。 這樣做的好處是它們顯著減少了人為錯誤,例如弱密碼或重複使用的密碼。 還有行為身份驗證,它使用機器學習 習 來開發這些典型的行為模式,隨著時間的推移學習學習 習 了解您通常何時登入,從登入開始,然後它可以阻止訪問,直到您可以驗證您的身份。 使用者還可以將其 USB 快閃記憶體驅動器轉換為密碼,以限制只有擁有 USB 的人才能訪問。
Weatherford:“我對新密碼替代方案最大的擔憂可能是私隱。 當然,對於生物識別技術,我們存在巨大的私隱問題,一旦您向某人提供指紋、虹膜、面部掃瞄,這些資料就會在某個地方數位化。 這些資料必須受到保護。 成本也是這樣做的成本。 硬體令牌可能會丟失。 MFA我真的沒有任何顧慮,只是有些人覺得做MFA太痛苦了......生成式 AI 可以生成如此多的非常敏感的資訊,以至於只需要提出正確的問題,因此也會存在與生成式 AI 相關的身份驗證問題。
呻吟:“訪問控制和帳戶訪問總是有安全考慮。 隨著技術繼續快速發展,這種情況將在五年後繼續,屆時替代品可能會過時。
桑多瓦爾:“可訪問性和包容性是我關心的問題。 有些人可能會爭辯說 MFA 是必經之路,或者零信任是必經之路。這需要有人與系統進行互動。 假設人們有多個裝置進行身份驗證,或者願意使用多個裝置。
Evans:“沒有安全控制是萬能的。 一切都必須通過安全和深入戰略的視角來考慮和應用。 零信任方法只是框架的一部分。 使用基於風險的身份驗證時,必須確保檢視正確的屬性並相應地調整系統。 一次性密碼之類的東西可能會被惡意軟體攔截。
你不能把它想象成,'哦,我有技術,我很高興。 它需要經過深思熟慮並代表組織工作,以確保一切都按應有的方式執行。
人們不願意改變,人們知道他們的密碼,他們信任他們的密碼。 儘管密碼列表更安全,但它仍然是乙個最初並不是每個人都滿意的變化。 所以你必須能夠向他們闡明為什麼它更好。
技術是有代價的,在這種情況下,對於某些人來說,這可能是一筆巨大的成本,特別是如果你必須做一些事情,比如重構他們的應用程式以支援無密碼選項。
洛爾曼:“這有點像軍備競賽。 現在,密碼是唾手可得的果實,而且很容易。 網路犯罪分子可以通過多種方式破解密碼,在暗網上,有充滿使用者名稱和密碼的資料庫。 隨著越來越多的敏感賬戶(例如銀行賬戶、管理賬戶)轉向多因素並變得更加複雜,將使用越來越多的技術來擊敗它們。 黑客可以訓練生成式人工智慧來做一些事情,比如複製我的聲音,雖然語音識別比密碼更上一層樓,但它也有可能被擊敗。 因此,對於所有這些替代方案,這個問題沒有完美的解決方案。 安全問題在未來十年內不會消失。 當我們消除密碼時,替代方案將存在安全問題。
一次性密碼,在這種情況下,如果使用者丟失了輔助裝置,則很難使用。 重置裝置並獲取所需的密碼變得更加困難。 生物識別技術跟蹤資料並記錄您的指紋、面部掃瞄,這些都無法更改。 您可以重置密碼,但無法重置指紋。 它還具有更高階別的私隱問題。
Stocchetti:“通行金鑰,缺點是你丟失了輔助裝置,它與一次性密碼有同樣的問題。 如果您使用 USB 快閃記憶體驅動器,如果丟失了 USB ?..會發生什麼情況社會採用某些技術的速度有點慢,而我們只是我們習習慣的主要生物,對吧?他們喜歡自己喜歡的東西,對他們來說舒服的就是他們想要的。