虽然身份验证的可选形式已经有很多了,但许多企业仍是情有独钟:仅依靠口令作为雇员身份验证的唯一方式。仅仅使用口令进行认证有许多弊端。其实,专家们很早就建议企业放弃这种相对过时的身份验证方法。那么,口令真的"穷途末路"了吗?
口令问题
简单的口令更容易使敏感的公司数据遭受窃取。难以记忆的口令对用户来说不太方便,况且复杂的口令也未必安全,因为即使复杂口令也可能被破解。
攻击者喜欢薄弱的链条,而当前,口令正是最适合的攻击目标。攻击者喜欢收集口令数据库,并且实施钓鱼攻击,诱导雇员泄露其机密信息。随着越来越多的带外(OOB)方案被应用到企业,尤其是在涉及到金钱时,攻击往往会伴随而来。
口令是IT系统中最知名的漏洞之一。管理员绝不可能知道的一个基本问题是自己全然忘记了口令,直至为时已晚。有人会窃取口令,或者猜测口令,并在管理者不知情时使用口令。
其它选择
其实,决策者还是有许多可以比较并选择的口令替代品或其它认证形式,而有些最流行的选择都是基于电话的。
电话很方便,由于多数人都随身携带手机,智能手机仅仅是一个常见的使用案例。有些认证使用简单的短信进行身份验证,而有些使用安装在手机上的“软件令牌”来生成一次性口令,而有些使用数字证书或PKI(公钥基础设施)甚至生物识别(如iPhone)进行身份验证。软件令牌未必在智能手机上,对于笔记本电脑、PC、平板电脑,它也非常有用。
此外,口令被称为是一种单重形式的身份验证。管理者或其他人员是以单独的某种知识或秘密为基础进行验证的。然而,更佳的是双重认证,但其实现方法有很多种,而且这些方法并非同等优秀。
尤其值得注意的是,最强健的双重验证包括一种物理组件以及口令。从广泛的范围来看,最强健的双重验证可能是新USB安全密钥。这些安全手段已经出现了很长时间,但只是最近才开始兼容于个人的计算机和便携式设备。
其它更安全的选项还有多重验证、基于知识的验证(确认个人的信息)、生物识别、第三因素认证等。
展望
口令不会亡,因为口令的成本很低,且易于使用。对于大量的低级应用来说,口令作为一种低成本的认证形式完全可以满足需要。
当然,在过渡阶段,我们需要花费时间和金钱才能正确而成功地用适当的技术来完全取代口令。下一代认证有可能拥有某种形式的多重认证。混合认证方案在未来的几年中将日益增长。
即使对于生物识别这种安全机制来说,用户也有可能丧失密钥,因而最终也会需要某种形式的口令才能正常使用系统。所以,笔者建议企业在设想无需口令的未来时,要保持理性和谨慎。