密码正在逐渐变成史上最无用的设计(2)
不管你使用多少密码,不管你如何小心谨慎,你的一些密码很可能已经在过去两年发生的诸多黑客攻击事件中遭到泄漏。
大厦崩塌
我们看到这样的故事循环往复,这些数据泄露事件已经被刻在互联网的耻辱墙上。从 塔吉特百货 (Target)到 索尼 ,从 Anthem到 美国人事管理办公室 (OPM),我们已经看到这种大规模的数据泄露事件一再发生。随着每一次攻击事件爆发出来,更多的密码就流落到了黑客黑市。
当然,这些攻击事件并不都是由于设置了错误的密码,但黑客并不难破解或是使用恶意软件盗取密码,他们甚至不用借助从那些大规模攻击事件中泄露的密码资源。一旦黑客侵入了系统,他们拥有更加复杂的办法来开始掠夺各种数据。
据史蒂夫·赫罗德(Steve Herrod)称——他是 General Catalyst 的董事总经理,这家公司为多家安全公司提供了资金支持,其中包括 Ping Identity、Menlo Security 以及 ThreatStream——这个问题在一定程度上是,公司并没有很好地掌控自己数据库中的数据。
“顶层的某个人必须开始数据清查工作,这是我拥有的数据库,听到它被攻破,那该有多糟糕。”赫罗德问道。一旦你知道自己拥有什么,你就能更好地保护公司皇冠上的宝石。问题是,保护系统并不总是针对拥有最高优先级的数据,他如是说。
为用户摘掉包袱
事情是这样的:保护数据的包袱不应该由我们用户负担。让互联网公司开始思考如何简化安全保护措施,从而使用户能够更容易和更方便地使用,同时让坏蛋更难窃取身份凭据,这真的取决于拥有那些公司的聪明人。他们把时间花在这上面,肯定要远远好过试着搞清楚如何更好地向我们展示广告——说说而已。
现有的系统往往把责任推给用户,这让消费者和企业员工的生活苦不堪言。用户需要每隔 30 天更换密码,不能重样,使用大小写字母,至少包含两个数字和一个符号,这真的让人很吃力。它迫使用户记住不自然的密码,并导致他们采用不安全的记忆方法,比如把密码写在便签并贴在显示器上,甚或使用密码本那样明目张胆的手段。