必须有更明智的安全性,而不是禁止“愚蠢”的密码

作者:长孙诠惠

<p>在网络空间,我们面临密码疲劳,这是因为必须在奇数时间回忆(看似)无休止的(显然)不相关的数字和字母流</p><p>一个答案是使这些密码更长,更难以理解这里的逻辑是人们拥有无限的容量记住这些事情,或者他们有一种不可抑制的愿望在黄色便利贴上写密码为什么我们想要或者根本不需要密码</p><p>我们希望确保只有合适的人(我们自己)才能访问我们使用的系统中包含的信息见证Ashley Madison黑客的后遗症隐私是一项基本人权,也是许多人认真对待的问题</p><p>系统是我们大多数人每天不思考的事情不幸的是,这些系统通常对被认为是好的或可接受的密码有不同的规则需要记住与安全要求竞争导致人们设计令人难忘的(对他们)密码方案他们认为是独一无二且不可思议的例如,如果我必须访问12个系统,我可能会使用一年中的几个月,再加上我的出生日期和围绕面值旋转组合,这似乎是一个聪明的方案,因为没有其他人知道我的出生日期当然除了几个政府机构,医疗服务提供者,一个或三个保险公司,一些社交媒体系统(可能是hac) ked最近)和那些身体分享信息的其他人当然,我和我的家人和朋友每年都喜欢庆祝我的生日我可以使用狗的名字而不是任何人都知道这个当然除了当地的兽医,任何听到我对当地街头的狗大喊大叫的人,我的Facebook朋友们等等,尽管有很多提示和指南,但是你能记住这么多不同且显然安全的密码可能会很棘手,因此密码疲劳一个潜在的解决方案是对许多系统进行单点登录(合并为一个) - 一个有趣的想法,但也有自己的问题引用Led Zeppelin的天堂阶梯:“是的,有两个您可以走过的路径,但从长远来看,仍有时间改变您所处的道路“一条路径是系统性的,基于如果小密码不好,答案更大,密码更复杂的想法,例如,微软现在说我我想编译一个它所谓的哑密码列表,这些密码在其系统上是不允许的</p><p>哑密码是一个问题是不可否认的,因为在线安全公司SplashData兴高采烈地发布其最常见密码的年度列表,其中“密码”列表中的“123456”很高,这显示人们在设置密码方面选择了安全方面的便利性(但他们仍然需要隐私)系统响应是用户不断被要求设置更复杂的密码大写,小写,数字,符号等,以至于我们得到密码疲劳要求我们不断更改密码只是鼓励对相同的不可篡改的密码进行轻微或渐进的更改,甚至英国情报机构GCHQ认识到这是一个问题这种思维模式适用于某些问题,但当任何人都可以轻松下载数百万个最常用密码列表时,整个想法都没有实际意义是的, 123456“可以在几分之一秒内破解,但随机15个字符的密码可以在不到一周的时间内使用相对便宜的硬件破解这一切都取决于信息的时间价值您的银行账户将在七天内仍然存在(剩下的资金是另一回事)我们需要重新考虑整个系统吗</p><p>另一条路径是系统性方法这使用了系统组件以不明显的方式连接的概念康奈尔大学副教授加里克·布拉洛克及其同事所在的系统效应的一个例子,无法直接预测</p><p>发现2001年9月11日恐怖袭击事件发生后,美国的驾驶死亡人数大幅增加</p><p>人们选择乘汽车旅行代替飞机,前者更危险 那么密码疲劳的系统解决方案是什么样的呢</p><p>如果更长的密码不是答案,但我们仍然需要对自己进行身份验证,为什么不完全免除密码</p><p>当我们提供凭证时,它是我们所知道的一个(或多个)(密码),我们拥有的东西(卡片)或我们自己的东西(我们自己的某些物理属性)这是后一个想法最具吸引力的A生物识别签名 - 例如你的虹膜,视网膜,指纹或声纹 - 意味着不需要记住任何东西,不需要携带访问卡你只是自己而且你的某些财产会识别你这样的系统对任何人都很难复制或黑客攻击的网络犯罪目前,生物识别解决方案价格昂贵(与其他技术相比)并且不完善(他们的错误比我们想要的更多),但如果您可以通过电话拨打银行账户并通过以下方式进行身份验证,那么未来会更好你的声音打印然后你可以简单地要求将“X美元”转移给旅行社度假并预订租车,所有这些都可以同时进行,....

下一篇 : 迈克尔瓦格