除了落入黑客之手,密码无处可去
插图:© IoT For All --> Verizon 最近发布的数据泄露调查报告强调,被盗凭证仍然是黑客最偏爱的入侵方式之一,其中超过 80% 的网络应用攻击都涉及凭证的使用。许多安全领域的专家正借机宣扬“无密码”理念,但事实远非如此。尽管无密码认证方案有时可以用于访问物联网设备和连接系统,但据此认为我们已经可以完全摆脱密码进行身份验证,这未免太过轻率。 “尽管无密码认证方案有时可用于访问物联网设备和连接系统,但依靠密码进行身份验证的时代并未结束。”——Michael Greene 点击推文 无密码方案仍依赖密码作为备用方式 如果你使用的是苹果设备,那么很可能在某些时候遇到过 Touch ID 出现问题的情况。Touch ID 认证失败的原因有很多种,例如按钮上沾有灰尘、用户手指放置不当,或系统配置问题等。在这种情况下,系统通常会回退到要求输入密码,这一点同样适用于受生物识别保护的连接技术。从这个角度来看,这些账户的安全性实际上等同于密码的安全性。鉴于密码重复使用问题非常普遍,作为备用认证方式的凭证很可能已经被泄露,并在暗网中供黑客使用。由于目前生物识别技术尚不成熟,未来一段时间内仍需要备用的认证方式。而考虑到这种备用登录方式通常还是密码,无密码的理念也就显得不那么闪耀了。系统后端仍需凭证进行认证 另一个阻碍无密码理念得以实现的问题是,在安全链条的某一点上,系统仍然普遍需要凭证进行认证。例如,如果你是通过硬件令牌进入办公室的,当令牌损坏或丢失时,系统将要求你输入独有的访问代码。然而,登录系统分析数据的 IT 管理员,使用的就是凭证,这意味着密码实际上仍然参与了系统认证过程。替代认证机制的其他挑战 上述例子表明,短期内真正实现无密码几乎是不可能的。不过,生物识别和其他隐形安全策略也存在一些额外的认证问题。例如:- **设备/服务限制**:IoT 开发者可以在连接设备上加入生物识别扫描器,但仍有大量用户使用不支持该技术的旧款笔记本电脑和手机。 - **用户问题**:在大规模部署生物识别系统时,也出现了部分用户无法通过特定生物特征进行认证的问题。除非技术足够成熟以解决这些兼容性问题,否则这些人仍需通过更传统的途径访问系统。 - **伪造风险**:你无法更改自己的指纹或虹膜,但黑客却可以不断尝试复制这些生理特征。特别是随着深度伪造技术的普及,威胁者将更容易捕获并重用用户的生物识别信息。通过密码层增强密码安全性 鉴于上述各种因素,企业应首先专注于增强密码层的安全性,再考虑任何无密码方案。尽管 Verizon 的报告确实指出,黑客热衷于利用凭证作为攻击向量,但采取正确的措施后,组织基本上可以消除这一漏洞。最有效的策略是采用混合式身份验证方法,即在减少用户操作负担并提高安全性的同时引入无密码方案,同时继续采用增强密码安全性的技术和实践,以实现最佳的密码安全。随着我们对物联网技术的依赖不断加深,基于密码的身份验证在未来一段时间内仍将是身份验证策略的重要基石。推文分享 邮件 网络安全 设备管理 IT 与安全 隐私 --> 网络安全 设备管理 IT 与安全 隐私
查看全文
作者最近更新
-
Edge and IoT Predictions For 2024iotforall
2023-12-22
评论0条评论