导语:美国《华尔街日报》网络版上周日刊登题为《跟密码说再见》(Say Goodbye to the Password)的评论文章称,由于密码技术在便利性和安全性方面的弊端逐渐显现,相关企业纷纷开始寻找替代方案,而以指纹为代表的生物识别技术则成为最受追捧的领域。
以下为文章全文:
生物识别受宠
密码有一个根本问题:只有当密码很长、很复杂,而且经常更换时,才能给企业带来最大的保护作用。换句话说,只有当员工最不可能记住密码时,效果才最好。
因此,科技公司都在争相提供更安全、更便利的措施。很多笔记本现在都已经内置了指纹传感器。智能手机和其他设备同样也对面部和语音等生物识别技术敞开了大门。
苹果公司去年收购了指纹传感器技术开发商 AuthenTec,并在上周二宣布,新的 iPhone 5s 将内置指纹传感器。微软也表示,下月推出的 Windows 8.1 操作系统将也将针对指纹识别技术进行优化。该公司认为,生物识别技术将在该系统中得到更广泛的应用。
与此同时,谷歌、PayPal、联想等公司已经共同组建了一家名为“快速身份验证联盟”(Fast Identity Online Alliance)的组织,希望能为生物识别和其他形式的“强认证”模式制定行业标准。
谷歌正在尝试一种由美国 Yubico 公司开发的新型硬件令牌。与可以产生随机数字密码的传统硬件令牌一样,Yubico 的设备也可以生成暂时的密码,以便对员工身份进行认证。
不过,企业员工无需从用令牌查看密码,然后重新输入,只需要将令牌通过 USB 接口插入电脑,或是使用 NFC (近场通讯)技术与移动设备接触一下即可。
谷歌正在员工中测试这种令牌,并计划明年将其作为一种更安全的方式,推广给 Gmail 和其他谷歌账号的用户使用。
谷歌安全工程总监马岩克·尤帕德亚(Mayank Upadhyay)表示,这种令牌很容易使用,而且具备很强的加密功能。
“我们认为,这种令牌已经加强了我们的安全标准。”他说。这种令牌可以与谷歌的 Chrome 浏览器兼容,并且可以紧密融合到谷歌的日常工作流程中。
风险评估模式
另外一种以风险评估为基础的方案则是由 EMC 旗下的 RSA 安全部门开发的,该公司曾经推出过应用广泛的 SecurID 硬件令牌。
这种技术可以仔细分析公司内各个部门的海量用户数据,以此建立一套存储着“正常行为模式”的数据库,然后对每个用户展开风险评估。如果某位员工的行为出现异常,例如从新的地点登录、使用不同的电脑或访问不属于自己的系统,风险评分就会增长,系统便有可能向该员工索取额外的认证资料,例如通过电话确认其身份。
很多人预计,随着越来越多的员工将自己的智能手机和其他设备带到工作场所使用,安全领域的格局将会发生很大转变。虽然个人设备的渗透通常被视作是一大威胁,但有些分析师却认为,移动设备反而可以通过简化生物识别技术的使用流程来改善安全性,因为多数手机都配有麦克风和摄像头,而且可以确定员工所在的位置。
“我们认为生物认证今后将非常热门,而这一趋势的发展动力则是移动计算。”美国市场研究公司 Gartner 研究副总裁安特·阿兰(Ant Allan)说。
他解释道,对大企业来说,为每位员工配备新硬件将产生高昂的成本,因此能够利用员工的个人设备将具备很强的吸引力。另外,拥有移动设备的员工可能会发现,指纹识别器比记住并输入密码好用得多。
西班牙马德里的 Agnitio 公司也在探索新型安全工具,他们已经将语音识别软件应用到执法行动中。利用该公司开发的系统,员工只需要说一个短语即可登录进去。
与此同时,英国伦敦的 PixelPin 则希望用密码取代图片。例如,可以选择一张自己配偶的照片,然后通过顺序点击他面部的四个位置,便可顺利登录系统。该公司联合创始人吉奥夫·安德森(Geoff Anderson)表示,照片比文字密码更容易记忆。
思维密码成真
加州大学伯克利分校的研究人员正在研究通过脑电波认证身份的方式。他们的测试项目需要用户佩戴一副耳机,以便在其想象着完成特定任务的场景时探测其脑电波信号,该项目在区分不同人的身份时已经能够达到 99% 的精确率。从理论上讲,想象某个任务时释放的脑电波可以成为员工的“思维密码”。
多数专家预计,企业将使用不同的认证方式。例如,纽约州的萨拉托加医院(Saratoga Hospital)使用了指纹读卡机来代替密码。但该院安全分析师加里·穆恩(Gary Moon)表示,虽然他们已经解决了很多安全问题,但指纹识别器有时会失灵。还有一些年龄较大的员工难以将手放在指纹读卡器上静止不动,而且当人们佩戴手套或手指过于干燥时,指纹识别器都无法使用。还有一些员工直接拒绝使用指纹认证。
因此,萨拉托加医院不得不将密码作为后备安全系统使用。
“认证领域没有万能方案。”凡斯·比约恩(Vance Bjorn)说,他创办的 DigitalPersona 公司为萨拉托加医院供应了指纹识别器。他认为,企业需要同时采用不同的技术,以便适应不同的情况。
“一项技术可以解决某些问题,但未必能为所有人都充分考虑到安全、便利、成本和易用等各方面的因素。” 比约恩说。