使用用户名/密码作为主要安全机制的分布式信息系统正在普及。二十多年前,那时系统没有广泛应用远程访问,那时高级持续威胁(APT)仅仅针对acid reflux 形式,密码是非常有效地。那是验证用户的身份是非常容易证明的。但是,如今系统的高度复杂化和随时随地需要访问一个令人眼花缭乱的互联系统阵列,同样地,仅仅依靠密码去保护那些具有不同危险程度的系统(从访问你喜欢的棒球队到你公司的远程站点),看上去就像是一个奇怪的二分法。验证一个用户不在是那么高度可信了。随着信息系统在过去二十多年的迅速发展,相应的安全机制并没有跟上。相反,在现代社会,密码的使用变得根深蒂固,平局每个人需要记住5到7组不同的密码。
长期以来,安全专家总是宣传使用长(12个以上字符)和复杂的密码(大写字母,符号和数字),不同的平台之间不要重复使用密码。虽然理论上这是好的建议,但在实践中,有严重的缺陷。选择最容易的方法,这是人类的天性,特别是,在遇到更加复杂的情况出现时做出选择。因此,许多人会使用他们Facebook的基本相同的密码作为他们公司的商业账号密码。你能回想起5个完全独立的复杂密码吗?我可以确定 某些人不能记得(我可以勉强记得我鞋的尺码)。是的,现在有很多软件工具能够帮助我们减轻记住这么多密码的烦恼(例如自动密码管理软KeePas)或者修改例如口令而不是密码,因为这些口令可以是大脑中更容易记得的。然而,这只是使人们更容易记住密码,并不能解决密码安全根本上的弱点。
即使最好的密码保护措施也可能会很容易的被破解
为了说明这个道理,让我们假设每个人都是用冗长的并且复杂的密码(我怀疑要做到这点需要哈利波特用魔法做到)。使用社会工程攻击方法,例如网络钓鱼攻击,会发生什么呢?恶意软件利用键盘记录器记录键盘操作情况会出现什么现象呢?即使假设每个人都使用最好的密码保护措施,用户名/密码也会被恶意病毒很容易的欺骗从而获取信息。所有的安全专家都会指责用户没有按照冗长和复杂的密码标准设置,这样可以确保不会面临上述的危险。
多因素验证是什么呢?当然,它是延长密码生命周期的解决办法。多因素验证是一种纯粹的战术移动,迫使网络黑客转移战术。鉴于网络黑客是非常积极和灵活的,多因素身份验证控制被破解之前只是时间问题。备受推崇的安全专家Bruce Schneier指出“攻击者会使用攻击实时交易的工具获取多因素身份验系统信息:中间人攻击和木马攻击会对客户端进行攻击。”Schneier是对的,因为浏览器中间人攻击(MitB)最终浮出水面。这个恶意病毒寄托在用户和网站之间的网络浏览器并被植入其中。它能够改变用户所看到的信息和改变系统中真实的信息。
跨越密码
密码不再是一个有效的安全控制;事实上,它们具有主要责任。我们正处于一个转折点,这个转折点是我们如何面对安全战线发生巨大的战略转变。与其对于用户身份验证感到绝望,为什么不集中精力努力识别每个用户的行为?信用卡行业在安全模式上的大量投资获得了巨大地成功。他们意识到持卡人(或使用者)相关的账户是最不适合降低风险的。通过对行为欺诈监测系统的大量投资,信用卡公司集中为每个用户的预期行为设立了一个基准。一个超出特征范围的特定用户交易将被阻止或接受检查。这个欺诈监测系统可以应用到任何企业环境。每个员工都会在一个进行定期的完成指定和预期安排的任务。一些违规行为,例如向陌生电子邮箱地址发送公司的客户数据,或隐藏有知识产权的数据通过加密频道发送到乌克兰的服务器上。这将会作为可疑行为被标记,因此,类似情况能够被阻止和调查。
密码仍然是行之有效的,但是是开始关注预期行为和建立相应的用户基线的时候了,因此,我们可以减少对过时的安全措施的依赖。加大对数据泄露防护工具方面的投入,这样会推进下一代公司欺诈行为技术的进步。战术的改变(例如多因素身份验证)在面对网络黑客(他们已经表现出非常善于改变战术)时不会总是能够成功。一个重大的战略需要做出改变,将给防御者带来力量平衡的转变。这不是一个简单的改变;超过20年的习惯和规范制度需要去打破。事实上,密码已经确立成了安全标准,在安全行业中,这种标准将发生重大的文化变革,整个世界会成功完成这一壮举。毫无疑问,这会花费大量时间和精力。如何做出选择呢?就像猫和老鼠游戏一样永远不会停止。