BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

美国政府新计划旨在寻找密码替代方案

| 作者 Richard Seroter 关注 8 他的粉丝 ,译者 詹涛 关注 0 他的粉丝 发布于 2011年9月24日. 估计阅读时间: 4 分钟 | CNUTCon 了解国内外一线大厂50+智能运维最新实践案例。

为了解决密码带来的虚假安全问题,美国政府启动了一项新的计划,寻找替代方案,并试图和私营企业的领导者就替代方法的标准达成共识。新的网络空间的可信任标识的国家战略(NSTIC)项目是国家标准与技术研究所(NIST)机构的一部分,于2011年初正式设立,资金有限却雄心勃勃。

密码出了什么问题呢?IT Business的一篇文章这样描述:

大部分的人的所有账户都使用同一个密码。一旦黑客拿到这个密码,他可以大搞破坏,冒名顶替,破坏你的信用,毁了你和他人的关系和曝光你的隐私。

密码保护——或者缺少——是IT行业的不为人知的小秘密。密码是容易攻破和过时的保护模式,但是每个人都依赖它,并且好像密码做了它们应该做的。

纽约时报(New York Times)的文章指出过分依赖强壮密码转移了我们对键盘记录器(keylogging)的担心。

一些计算机安全专家正在推动不一样的想法:密码可能不需要很“强壮”,或定期修改。他们认为密码过分的要求给了我们抵御潜在攻击的虚假的安全感。他们说,事实上,我们对更严重的威胁没有给予足够的重视。

这里有一个例子可能让你彻夜难眠:键盘记录器软件,一种PC机上的病毒,记录所有的键盘敲击——包括你最复杂的密码输入——然后在后台发送给远程的黑客。

泰晤士报(The Times)则引用可用性专家Donald Norman的发现,指出过于复杂的密码规则实际上为系统的运行带来了负面影响。

[Norman说]“不合理的规则最终让系统更不安全:用户最终用笔记录下密码然后把他们放在随手可得的地方”。

当谈及NSTIC项目时,美国总统奥巴马这样憧憬:

NSTIC战略的目标是找到一些比“不安全的密码”更好的方案,来让“线上交易更值得信赖。”

要做到这一点,这个计划必须和公司合作,以找到互联网范围的解决方案,这些公司的方案之前就不依赖密码,如可信的身份提供者和生物识别解决方案。虽然像一次性使用的密码或通过Verizon或Google提供的单点登录方法,可以减少风险或提供可靠的身份验证,但是一些人仍然觉得生物识别安全技术是提供核心标识的最好方法之一。Jericho论坛负责Open Group的Paul Simmonds,支持这个观点

 “核心标识是你”。Simmonds说,“你的人类核心标识是你的脸。最关键的是只有你才能使用它。”

Simmonds相信一旦一个强标识被建立,如脸的生物特征,“它将允许你创建一个人物并链接到它。重要的是不要本末倒置。”

他说首选的身份标识的生态系统是一个不依赖巨大数据库信息,而只是简单依赖核心标识的可信任的和安全的登记。可能是使用基于芯片卡的技术。“他们不需要知道我是谁。我能证明我是谁。”

很多组织都在寻找在验证用户身份时,如何避免可重复使用的密码。Google和Apple都对近场通信(NFC)技术进行投资,这种技术可以在距离很近的设备间建立安全的通信。一个剑桥大学的教授设想和提出一个小装置,利用光学和加密技术,以取代所有的密码。这一领域的创新现在有机会能得到NSTIC的2500万美元的资助,其中70%的资金用于试点方案,目的是证明这些想法能否在更大的范围推广。我们应该会在2012年看到这些试点的项目,可以通过资金资助计划资助个别组织。

查看英文原文U.S. Government Program Seeks Alternatives to Passwords

译者介绍:詹涛,毕业于武汉大学,目前在趋势科技(中国)研发中心工作,从事测试工作六年。对邮件安全领域比较了解,正在追赶云。拜读了几乎所有温伯格的作品,踢球是最大爱好,喜欢马拉多拉,讨厌贝利。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

翻译质量还敢更烂一点吗? by Wooooo Kai

你是凯丁吗?这是机器翻的吗?

Re: 翻译质量还敢更烂一点吗? by 李 毅

简单看了一下,部分术语翻译的忒不准确了

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

2 讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT