close



密碼噩夢



二十世紀六十年代初,當費爾南多·卡巴托(Fernando Corbató)在麻省理工學院創造出第一個電腦密碼時,他完全沒有想到,一個潘多拉魔盒就此打開。



“這就像一場噩夢。”這位87歲高齡的退休研究員說,“我認為沒有人能記住所有的密碼。”



密碼是不僅為電腦和智能手機用戶埋下瞭禍根,還給各大企業帶來瞭安全隱患。本周三,eBay呼籲該公司的1.45億用戶更改密碼,原因是該公司發生瞭數據泄露事件。但從以往的經驗來看,恐怕沒有多少人會留意到這種警告。



上月有專傢披露瞭名為“心臟流血”的網絡加密漏洞,成為瞭互聯網發展史上最嚴重的漏洞之一。該漏洞可能會將數十億密碼暴露給黑客,但美國皮尤研究中心的調查發現,隻有39%的成年網民在該漏洞曝光後取消瞭賬號或更改瞭密碼。



“密碼太可怕瞭,應該將它‘槍斃’。”傑裡米格蘭特說,他所領導的美國國傢網絡空間可信身份戰略項目(National Strategy for Trusted Identities in Cyberspace)是2011年由奧巴馬總統創立的,目的是加強網絡安全性。



廣泛滲透



盡管存在種種不足,但密碼早已滲透到人們生活的方方面面。它成本低廉、應用廣泛、易於使用,而它的替代方式至今沒有取得太大的進展。



“這是唯一一項從50年前沿用至今的技術。”eBay旗下PayPal業務高級網絡安全顧問佈雷特·麥克道威爾(Brett McDowell)說。



有人希望用指紋識別器、虹膜掃描器和USB密鑰取代密碼,一系列的失望令企業高管、科學傢和政府官員開始懷疑這種計劃的前景。麥克道威爾和美國銀行、谷歌及其他企業的管理人員都在合作推動一個名為Fido Alliance的密碼替代項目。



該項目最近發佈瞭一套可以用於其他在線身份認證形式的早期標準。PayPal正在使用該標準,而谷歌的內部測試也獲得瞭不錯的效果。



蘋果公司的最新一代iPhone就使用瞭指紋解鎖功能,但有用戶認為,輸入密碼跟把拇指放在讀卡器上解鎖手機的方式一樣方便。



沒人知道世界上究竟有多少密碼,部分原因在於它們滲透得太快,根本無法追蹤。智能手機、平板電腦和其他移動設備的使用量大增令情況進一步惡化。社交網絡和電子商務網站通常也都需要用戶使用密碼登錄,從而為其提供個性化的內容和廣告。



數據泄漏



盡管數據泄密和安全警告不絕於耳,但人們還是堅持使用易於記憶的密碼,而且經常在不同賬號中使用相同密碼。



“世界上最常用的密碼就好比世界上最常用的寶寶名字。”密碼管理公司SplashData CEO摩根·斯雷恩(Morgan Slain)說,該公司每年都會發佈一份年度“最差密碼”榜單,幾乎每年的榜單都不會有太大變動,包含瞭“123456”、“password”和“qwerty”等最常用的密碼。



49歲的傑夫·邁爾斯(Jeff Mayers)想出瞭自己的辦法。這位前心臟外科醫生目前在Gilead Sciences公司從事藥物試驗,他表示,自己每個月都會在現有密碼後面增加一個數字。



“任何人隻要有一點黑客技巧,都能立刻破解出來。”他說。



替代方案



谷歌和Twitter等企業都在通過兩步認證模式來應對黑客攻擊。在用戶輸入密碼後,還要再輸入一個通過手機短信接收的認證碼才能進入賬號。



這種模式較之於單純的密碼更加安全,但如果手機丟失,仍會造成困擾,而且會放慢進入賬號的速度。



“所有這些都會制造額外的阻力。”EMC旗下數據安全部門RTSA前高管尤裡·裡弗納(Uri Rivner)說。他最近參與創辦瞭一傢名為BioCatch的公司,可以幫助各大網站通過用戶手持智能手機或在屏幕上拖拽鼠標的方式認證其身份。他補充說,一些主要的美國銀行已經開始使用這項技術,但他拒絕披露這些銀行的身份。



即使是最聰明的密碼,其安全程度也會受到負責存儲它的公司的限制。黑客可以借助“心臟流血”漏洞竊取企業服務器上受保護的數據。



塔吉特公司表示,黑客去年利用從制冷承包商那裡竊取的密碼入侵瞭信用卡和借記卡系統,從而盜取瞭4000萬張卡片號碼。



目前還不清楚有多少人可能成為這兩起入侵事件的受害人。自此事發生以來,塔吉特已經采取瞭很多措施將有價值的數據與其網絡的其他部分隔離開來。在“心臟流血”漏洞今年4月曝光以來,已經有數十傢網站呼籲用戶更改密碼。



阻力猶存



PayPal允許用戶在最新的三星Galaxy S5智能手機上使用傳感器完成購物。蘋果CEO蒂姆·庫克(Tim Cook)也曾表示,在為最新一代iPhone添加指紋識別芯片時,該公司的高管就曾考慮移動支付功能。



蘋果的系統目前隻能兼容iTunes等該公司自己的產品。PayPal用戶卻可以在任何部署Fido標準的網站上使用相同的指紋。當然,當Galaxy S和iPhone 5s的指紋失效時,用戶仍然需要輸入密碼。



美國加州大學伯克利分校博士生斯圖爾特·蓋格(Stuart Geiger)專門研究人與技術的互動方式,他表示,要徹底拋棄密碼,需要矽谷各大企業的通力配合,這幾乎涉及從網絡購物到視頻聊天的各個領域。



即使真的開發出瞭能夠徹底取代密碼的技術,數以億計早已習慣瞭密碼的美國網民是否真的願意為瞭提高安全性而改變設備使用方式?“慣性是個重要問題。”他說。



當今的種種亂象早已超過瞭麻省理工學院教授名譽退休教授卡巴托當初的想象,他和他的同事當年之所以開發密碼,隻是為瞭在共用的電腦上控制文件訪問權限。



“我們當初也沒有預見到互聯網的誕生。”他說。為瞭記住自己的各種密碼,卡巴托會把它們都寫在紙上。而現在,他則將這些內容都存儲到在線文件中。



Orignal From: 數據泄密事件頻發 但密碼仍有生命力

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 x0z7blog01 的頭像
    x0z7blog01

    x0z7blog01的部落格

    x0z7blog01 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄