有些人認為不能再使用密碼了，原因顯而易見：密碼不能保護用戶，因為密碼很容易被破解;所有關于如何使密碼更安全的談論都忽略了一個顯而易見的事實：密碼根本無法變得更安全;此外，還有其他更好的身份驗證方式，例如生物識別技術，畢竟其他人沒有你的指紋、眼膜和DNA。

但也有人說沒有那么快，生物識別技術還沒有經過反復驗證，如果用戶沒有設置太簡單的密碼，如果密碼身份驗證系統(tǒng)得到改善，密碼仍然行之有效。

See-Thru首席技術官兼莫瑟爾學院教員Christopher Frenz表示，“問題在于不是因為密碼已經過時，而是因為糟糕密碼和糟糕的密碼做法的廣泛存在”。他指出了2009年社交網(wǎng)站RockYou遭受SQL注入攻擊導致3200萬用戶賬戶密碼被泄露的事實，該網(wǎng)站唯一的密碼安全要求是密碼必須由至少5個字符組成，這導致很多人選擇使用12345、Password、rockyou、abc123以及常見單詞作為密碼。此外，該網(wǎng)站的密碼以及用戶的郵箱地址都以純文本格式存儲。

一些網(wǎng)站(其中包括Hotmail)現(xiàn)在要求使用更復雜的密碼，且密碼必須由多種字符類型組成。對于高強度密碼，用戶很難記住，特別是當用戶需要記住幾十個不同網(wǎng)站密碼時。但是他認為解決這個問題的方法就是使用較長的密碼，他鼓勵用戶使用短語而不是由字母和數(shù)字隨機組成的短密碼。這樣做能夠提供更高的安全性，同時更容易讓用戶記住。

英國BBC電視信息安全官Owain Rees同意他的說法：“提高密碼安全性的唯一方法是盡量使用較長的密碼。在大多數(shù)情況下，與短而復雜的密碼相比，一個很長而簡單的密碼更難被破解。”

新加坡ShieldPass的經理Matthew Walker表示，即使這樣還是遠遠不夠的。目前IT管理員都趨向于要求用戶提高密碼的復雜性，并定期修改密碼，這使管理網(wǎng)上密碼的工作變得非常繁瑣，但這也在一定程度上打壓了專門攔截和復制密碼的惡意軟件。

Walker則認為，要求用戶使用復雜密碼，然后提供一個“忘記密碼?”的鏈接來向用戶電子郵箱發(fā)送一個臨時密碼，而這個臨時密碼可能是低強度密碼。但這種OTP(一次性密碼)已經不再安全，一次性密碼很容易遭受中間人攻擊和瀏覽器的中間人攻擊，比例向用戶瀏覽器注入代碼的Spyeye和Zeus攻擊。

由于大多數(shù)身份盜竊的受害者都是集體用戶，例如數(shù)據(jù)庫遭受攻擊的網(wǎng)站的整個用戶群，加強密碼安全性的壓力應該更多的落在系統(tǒng)管理員身上。Walker說，如時通過定時鎖定來管理身份驗證會話，追蹤IP地址，創(chuàng)建密碼時使用更先進的密碼復雜度分析，都能夠從本質上提高最終用戶的安全。

Rees表示，部分問題在于用戶可能希望除密碼外更多的驗證方式，密碼應該成為分層安全防御的一部分。他將密碼比作汽車的鎖，這并不意味著小偷不會敲碎玻璃然后爬進汽車。只不過汽車鎖制造了一個障礙。所以汽車還應該配備一個防盜報警器和電子防盜系統(tǒng)。同樣的，計算機安全還應該增加其他元素，例如入侵防御系統(tǒng)、防火墻和數(shù)據(jù)加密。

從以上可以看出，這三名安全專家一致認為包括生物識別技術的“三因素身份驗證”將不會提高安全性，甚至有可能使情況變得更糟。
 

【編輯推薦】

1. CIO需未雨綢繆做好移動設備管理
2. 微軟成功上位“云計算管理平臺首選品牌”
3. 北塔BTCM IT運維集中管理軟件年末巨獻
4. Gitblit 0.8.1發(fā)布 Java的Git管理工具
5. 新浪被爆7000萬明文密碼泄漏