美国政府新计划旨在寻找密码替代方案

  • Richard Seroter
  • 詹涛

2011 年 9 月 23 日

话题:安全架构DevOps语言 & 开发

为了解决密码带来的虚假安全问题,美国政府启动了一项新的计划,寻找替代方案,并试图和私营企业的领导者就替代方法的标准达成共识。新的网络空间的可信任标识的国家战略(NSTIC)项目是国家标准与技术研究所(NIST)机构的一部分,于 2011 年初正式设立,资金有限却雄心勃勃。

密码出了什么问题呢?IT Business 的一篇文章这样描述:

大部分的人的所有账户都使用同一个密码。一旦黑客拿到这个密码,他可以大搞破坏,冒名顶替,破坏你的信用,毁了你和他人的关系和曝光你的隐私。

密码保护——或者缺少——是 IT 行业的不为人知的小秘密。密码是容易攻破和过时的保护模式,但是每个人都依赖它,并且好像密码做了它们应该做的。

纽约时报(New York Times)的文章指出过分依赖强壮密码转移了我们对键盘记录器(keylogging)的担心。

一些计算机安全专家正在推动不一样的想法:密码可能不需要很“强壮”,或定期修改。他们认为密码过分的要求给了我们抵御潜在攻击的虚假的安全感。他们说,事实上,我们对更严重的威胁没有给予足够的重视。

这里有一个例子可能让你彻夜难眠:键盘记录器软件,一种 PC 机上的病毒,记录所有的键盘敲击——包括你最复杂的密码输入——然后在后台发送给远程的黑客。

泰晤士报 (The Times) 则引用可用性专家 Donald Norman 的发现,指出过于复杂的密码规则实际上为系统的运行带来了负面影响。

[Norman 说]“不合理的规则最终让系统更不安全:用户最终用笔记录下密码然后把他们放在随手可得的地方”。

当谈及 NSTIC 项目时,美国总统奥巴马这样憧憬:

NSTIC 战略的目标是找到一些比“不安全的密码”更好的方案,来让“线上交易更值得信赖。”

要做到这一点,这个计划必须和公司合作,以找到互联网范围的解决方案,这些公司的方案之前就不依赖密码,如可信的身份提供者和生物识别解决方案。虽然像一次性使用的密码或通过 Verizon 或 Google 提供的单点登录方法,可以减少风险或提供可靠的身份验证,但是一些人仍然觉得生物识别安全技术是提供核心标识的最好方法之一。Jericho 论坛负责 Open Group 的 Paul Simmonds,支持这个观点

 “核心标识是你”。Simmonds 说,“你的人类核心标识是你的脸。最关键的是只有你才能使用它。”

Simmonds 相信一旦一个强标识被建立,如脸的生物特征,“它将允许你创建一个人物并链接到它。重要的是不要本末倒置。”

他说首选的身份标识的生态系统是一个不依赖巨大数据库信息,而只是简单依赖核心标识的可信任的和安全的登记。可能是使用基于芯片卡的技术。“他们不需要知道我是谁。我能证明我是谁。”

很多组织都在寻找在验证用户身份时,如何避免可重复使用的密码。Google 和 Apple 都对近场通信(NFC)技术进行投资,这种技术可以在距离很近的设备间建立安全的通信。一个剑桥大学的教授设想和提出一个小装置,利用光学和加密技术,以取代所有的密码。这一领域的创新现在有机会能得到 NSTIC 的 2500 万美元的资助,其中 70% 的资金用于试点方案,目的是证明这些想法能否在更大的范围推广。我们应该会在 2012 年看到这些试点的项目,可以通过资金资助计划资助个别组织。

查看英文原文U.S. Government Program Seeks Alternatives to Passwords

译者介绍:詹涛,毕业于武汉大学,目前在趋势科技(中国)研发中心工作,从事测试工作六年。对邮件安全领域比较了解,正在追赶云。拜读了几乎所有温伯格的作品,踢球是最大爱好,喜欢马拉多拉,讨厌贝利。

安全架构DevOps语言 & 开发