口令已“死”的困境

2015-08-31 11:34:20 大云网　点击量：评论 (0)

当今已经是万物互联的社会，身份认证无处不在。无论网站、手机应用、笔记本电脑、汽车、酒店门锁、零售亭、自助取款机，或者游戏主机，安全对所有联网系统来说都是最基本的。一个最典型的例子就是个人身份证，它

仅仅几年之间，全球的计算机就从单个计算机组成的孤岛世界转变成为如今由网络云连接起来的分散群落。不仅计算机相互连通，设备自身及其上运行的各种应用也随着各自的用户一起移动。应用不再局限于特定机器或数据中心，它们可以是分布式的、分散的或安装于本地移动设备上。个人系统或用户的安全状况如今可以影响到与它们联网的系统的安全。

互联网已经深植于全球文化和商业贸易之中，身份验证的风险和影响也随之日益增加。而随着万物互联的逼近，数十亿上百亿的设备、传感器和系统都将接入互联网，不仅仅是安全身份验证的需求在以指数级增长，安全态势也在改变。与口令被盗和身份验证绕过直接相关的安全事件，不仅是在发生频率上，其后果的严重性也在不断的变本加厉。而更糟糕的是，以往的入侵事件正在造成一种雪球效应，使后续攻击比它们的前任们更加容易、更快，波及范围也更广。

口令的问题

口令不仅仅是使用不当的问题，它们从本质上就不安全，也为未来的设备身份验证引入了麻烦。

传统上，联网系统中用户身份验证的主要形式是用户名和口令组合。最近，强身份验证的概念开始流行，也就是在口令层面上再加一个附加的身份验证因素以增加安全保障。但很不幸，无论是口令还是口令之上的强身份验证在面对今天的安全挑战之时均不是非解决方案。

随着我们开始考虑设备互联的物联网世界，很容易看出今时今日使用的口令技术与组成我们未来联网世界的广大智能对象是多么地不相匹配。密码向内集中的本质要求用户向应用输入凭证。然而，大多数设备，比如传感器、门锁和可穿戴设备并没有附属键盘供人键入口令。

双因子验证的问题

安全专家一直在建议用强身份验证补足密码方式的弱点。虽然强身份验证的安全性的确优于传统的口令，但这种通常称为双因子身份验证的传统方式，并不足够。