專家：密碼防護已顯不足

533則回應

分享

    

分析師Ant Allan周三在倫敦的Gartner IT安全高峰會上指出，「隨著針對密碼的威脅攻擊愈來愈多，密碼防護已經不足以防護企業安全。」

威脅增加與Wi-Fi與Web服務等新興技術的出現有密切關聯。這些服務的出現引發不肖人士利用它來犯罪的念頭。採用這些技術可能帶來很大業務上的價值，但是安全也需要跟上，Gartner說。

犯罪手法的專業化與攻擊走向複雜，使得企業使用愈來愈長的密碼，或是經常變更密碼。但Gartner研究副總裁Jay Heiser指出，「這是不智的，因為使用者反而被搞到忘記密碼或乾脆把它寫下來，進而為安全帶來各種威脅。」

未來的認證授權技術「將更加強大，」Allan表示，「RSA安全令牌、智慧卡及生物辨識也會愈來愈普及。但這些方法的問題在於佈署成本太高，」他說。

有些安全專家呼籲企業使用雙因素認證(two-factor authentication)──除了密碼外再使用另種認證技術──但其他專家則不同意這是未來趨勢。知名安全專家Bruce Schneier今年稍早接受訪問時指出，「許多廠商宣稱雙因素認證是我們現有身分竊取問題的解答，但其實它解決的是十年前的問題。」

「我們發現歐洲企業比較能接受較高價的解決方案，但是美國企業態度則較為保留，因為他們不想讓太複雜的程序增加使用者負擔，」Allan說。

便宜一點的解決方案還包括一次性密碼認證（one-time password authentication）行動電話令牌或ID卡。

安全公司Aladdin企業銷售資深副總裁Colin Thompson同意企業未來需要將實體身份與數位身份做某種程度的結合。

「利用銀行帳號做交易時，你得要有金融卡和PIN，如果那張卡掉了，你的安全就要小心了。我們得要有某種智慧卡或證明，因為企業內部的個別使用者還是可能有受害。」

「雙因素認證將是未來趨勢之一。但如果你已進到系統內，過程就得再簡單一些，不同網站不應該還要使用不同的使用者名稱或密碼。」

而密碼愈來愈不安全的另一個原因是，網路上可以輕易下載到破解工具，另一位Gartner分析師John Girard說。

「例如一種名為Magical Jellybean的工具，如果你的授權密鑰掉了的話，它可以把它找出來，」他說。

大部份密碼的問題在於沒有東西可以承受你一次又一次的刺探，最後都會屈服在暴力之下。甚至還有免費的Word及Excel密碼回復工具可以更暴力破解密碼。

「破解較長的密碼要花差不多16個小時，但如果有人下定決心要闖進去，他還是辦得到的。」Girard說。(鍾翠玲)