密码的弱点
当我们考虑密码到底能够提供什么样的保障时,我们必须要围绕两个层面来考虑:第一个层面是识别阶段(告诉你是谁),第二个层面是验证阶段(获得和检验身份)。一个简单的验证程序通常含有一个密码提示,此密码只有识别方知道。如果不进行适当验证,身份识别就没有任何价值了。
系统常常要求终端用户创造一个只有他们自己知道,别人猜不到的密码,而且各个密码最好都不同,还要经常更换。这样就产生了一个自相矛盾的现象:用户可能记不住自己设置的密码。这样做极可能导致用户对密码的漠视,也正是造成当今验证系统的功能和效率差的首要问题。 由于设置的密码太多,有的用户就将密码记在便条上,而这种写在纸上的密码很容易被泄漏。密码在企业内部被泄漏的现象也比较常见。用户可能是无意间或是带有某种目的地泄露密码给同事,甚至不认识的人。无论是泄漏还是遗忘,密码的作用都会大打折扣。密码的弱点还存在于输入界面、传送过程、密码验证和密码存储上。很多情况下,不怀好意的人可以偷窥你在键盘上的手指动作来偷窃密码,而按键记录器已被广泛地应用于键盘上,这提供了一个极好的方法来获得密码和用户名。
密码经常被缓存记下来,因此以前的或无效的密码很可能被用来代替正确的密码。执行验证的软件会被访问控制和权限许可进行改写。这种情况下可能出现的问题是绕过验证机制,使得失败的验证也能成功地在系统中运行。
安全不只是密码
密码无疑仍然是验证领域内最大的风险,但同时也是可以强力控制的因素。如果用户继续使用脆弱的密码,不管你在传送、存储、验证和输入环节中多么有效地进行保护,其结果都没有区别,秘密将被泄露。每个公司和个人,应当尽力找到另外一种验证机制,例如使用数字证书和公共密钥。
数字证书就是标志网络用户身份信息的一系列数据,用来在网络通信中识别通讯各方的身份,由第三方机构签发。
由于避免了使用密码的安全风险,数字证书已经成为全球电子商务安全和获得用户信心的首选利器。目前在亚洲地区提供VeriSign服务器证书的是TrustAsia(网威网络)公司。TrustAsia发放数字ID时,要确认证书所有者的身份是真实的。获得VeriSign服务器证书后,服务器将自动启用SSL协议,服务器和客户的浏览器间就会建立一条安全的交流通道。目前TrustAsia能提供两种VeriSign服务器证书——40位的安全服务器证书与128位的全球服务器证书。
|