密码防护时过境迁，专家呼吁更安全的多因子验证

  据华尔街日报近日发布的一篇文章介绍，曾被誉为密码管理“圣经”的作者Bill Burr推翻自我论断，直言密码已不再是一级安全防线。Burr在其2003年写就的报告中建议用户使用数字、非字母符号及大写字母创建密码，并经常更换密码以增强安全性。而今，Burr向华尔街日报承认，他当年的建议是错误的，为此深表歉意。

我们必须感谢Bill的坦诚。然而，尽管如此，密码在当下的安全领域仍然发挥着重要作用，但却无法独立保障绝对安全。 举例来说，如果你是一家或多家公司的董事会成员，你肯定会忙得脚不沾地，没有精力管理各个网站和应用软件使用的多个不同密码。而一旦你在多个网站使用相同或相似的密码，或者仅仅使用密码作为资料读取和身份验证的手段，你的企业以及你个人都将陷于身份被盗或重大的安全漏洞隐患当中。 显然，密码是首要，有时甚至是唯一的安全防线这种理念已经逐渐动摇。当然，密码仍占有一席之地，但却不宜孤立使用。我们都知道，密码是在20多年前才开始流行起来，当时，互联网开始普及，电子邮件逐渐成为人际和商务沟通的主要手段。你只要想一想，20多年前开发的技术解决方案如今依然发挥作用的还有多少?而且，网络犯罪日渐复杂和险恶。我们如何能指望一个20多年前的过时解决方案在2018年仍然奏效? 作为董事会成员，你拥有公司重要数据库的访问权，时刻面临着安全证书遭受攻击的风险。由于你可能没有设置足够的安全级别，攻击者往往能够准确地猜到你的密码。而一旦你因密码被盗遭受攻击，且你在多个网站都使用同一密码，那你就要万分警惕了。你的大多数私密个人资料，包括银行账户、投资理财等都将陷于被盗风险。 那么，接下来该怎么办? 首先，你不能把密码当作你唯一的防御手段。你应该至少设置双因子验证，或者更实际一点，采用多因子验证的方法。这种验证方法可以有三个层面的意思：你知道的事情、你的身份以及你有哪些东西。密码可以列为“你知道的事情”一项。如果你愿意继续使用密码并将其看作进行安全防护的措施，你就应该花费一点时间对其进行严密管理，不要总是使用同一词组或者字符。 除此之外，生物识别技术作为一类验证方法早已广泛应用，其可列为“你的身份”一项中。如果你使用的手机是iPhone 5S或者更高的版本，你就可以使用Touch ID指纹识别技术，你就可以知道这项技术使用起来有多么简单，生物识别技术现在有多么平常了。通常情况下，密码+生物识别这样的双因子验证已经足够，但业内最佳实践正在逐渐倾向于使用多因子验证，这其中就包括“你有哪些东西”，比如安全令牌。 身为企业高管或者董事会成员，一定要时刻保持警惕。如果贵企业只要求输入密码，一定要对这个问题重视起来，如有必要，拒绝使用那些存有隐患的平台。如果其他高管也同样认为网络安全防护很重要，那么安全团队很可能也乐于做出相应调整。 网络是否安全取决于木桶效应中的那根最短板，而你并不想成为这一最薄弱的环节。所以在密码之外，一定要对网络设置验证保护，而且一定要用双因子或多因子验证方式，要确保这种验证方式能够成为企业的标准实践。所有风险都不容小觑。 来源：51CTO.com