身份验证急需高级安全验证系统代替密码

安全小白成长记 2020-07-03
专栏 - 观点观察 发布于 2020-07-03 11:43:30 阅读 89 评论 0

密码早已经无法保证信息安全,我们需要高级安全验证系统

如果你超过10岁,你一定听过这句话:“世界由你掌控。”这基本上意味着你能够抓住生活提供的机会。没有什么能比这更准确地描述当今世界的技术了。现在,如果我们对这句话稍作改动,我们也可以说“世界是你的身份认证。”“对于组织来说,他们想要如何执行他们的愿景,有无数的选择。

很长一段时间以来,我们都被密码当作默认身份验证所拖累。这已经在许多方面证明了它是一个标准。几十年来,我们一直被教导,密码能保证某种程度上的安全,可以用来保护网站等等。但这是一个需要我们消除的不好的观念。

这里的问题是,安全需求已经到了需要用高级安全验证系统代替密码的地步。让我们以此为例:如果有人知道密码,但却不能确保是谁在使用密码。很久以来,这都是无法保证的。例如,根据2020 Verizon DBIR数据,有86%的违规是出于经济动机。

当攻击者设法破坏一个网站时,他们将重复使用他们捕获的凭据来增加对其他网站的访问权限,这是因为他们了解人们是趋于习惯性的,将会使用相同的密码去攻击一个人的多个账户。即使当检查自己的密码管理器应用程序时,我发现自己拥有超过900个密码。这也就不奇怪,人们为什么还把密码写在便笺上。

有太多的选择可以弥补我们的密码困境。MFA是一个很好的例子,这为更好的身份验证解决方案的提供了优秀示例。当我们看到像MFA这样的东西时,我们明白这其中涉及到了一种文化转变。80%的安全漏洞都涉及密码泄露。人们可能会犹豫抵制变革,但当安全实现民主化时,他们会接受变革。

如果对于非技术人员来说,使用它很容易,那么他们就会采用它,进而提高信息的安全性。例如,我母亲使用Duo应用程序来验证她的电子邮件和其他应用程序。当你使用工程师为非专业人士写的应用程序时,可以想象它会怎样的。所以安全工具一定要易于使用。

如果您正在使用推送式的应用程序,或者甚至使用W3C WebAuthN开放标准(可以利用API替换密码)的应用程序,则可以通过从组合中删除密码来提高组织的安全性。将这样的技术与Azure AD结合使用可以降低组织的风险。可以经过身份验证的用户访的系统,而不需要怀疑使用密码登录的人是否就是拥有该账户的那个人。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!