为何密码不够强大.PDF

为何密码不够强大 实施强身份认证 与使用仅依靠密码的身份认证相关的风险并非新问题。早在1995 年，美国计算机应急 响应小组 (CERT) 就曾报告说，在他们收到的安全事件中，约有80% 与选择不当的密码 有关。近 年后，网络犯罪仍在利用弱密码— 的网络入侵是利用弱的或失窃的凭 20 76% 据1 ，并且利用诸如自动暴力和系统化的词典密码攻击等工具。 当今的技术可以通过多种渠道使得数据捕获、数据访问和数据共享对于组织而言易如反掌。 在某些行业，以金融服务为例，很多组织在数据安全方面投入大量资金，以保护其敏感客 户和公司数据，以符合严格的公司要求和联邦法规。但在其他行业，法规很少，或者执行 不太严格，因此很多公司（尤其是规模较小的公司）都抱有他们的数据不值得偷窃的错误 2 观念。事实上，三分之二的组织仍然只使用一个密码来保护远程访问的安全 。 不幸的是，这种自满情绪以及在安全和策略方面的相应缺失，使这些组织及其公司和客 户的数据及专有产品信息成为易受欺诈的目标。 在本文中，我们考察了对强身份认证的需求，并探讨了能够实现的投资回报，以帮助组 织在考虑其面向更有效的安全性的战略举措时，作出明智的决策。 对于强身份认证的需求 当今组织面临着先进的威胁环境和复杂的监管环境，这些环境有可能直接阻碍其业务目 标的实现。同时，诸如移动和云计算等技术进步也在转变我们的工作方式，从而促进了 各种新的趋势，如自带设备 (BYOD) ，以及将访问扩展到传统的公司边界以外不受控制的 环境和设备。 因此，保护对信息的访问以及确保请求此类访问的用户身份，已经成为安全措施的关键 要素。越来越多的政府和行业法规要求组织采取强身份认证安全措施，以防止对敏感信 息进行未经授权的访问。由于功能和技术转移到新的渠道，欺诈也就随之而来— 由此推 动了整个组织对强身份认证的需求不断增长。 1 信息来源： 2013 年数据泄露调查报告 Verizon 白皮书 2 信息来源： 2011 工作区安全报告 RSA 然而，尽管已经公认仅依靠密码的身份认证只能提供相对较弱的安全保护，但使用单一 新兴渠道 密码作为确保用户身份安全的手段仍占主导地位。 随着对于使其能与用户和客户“始终保 持联系”的需求不断增加，以及各种先 网络犯罪当然会利用这一弱点。他们能够认识到企业凭据和专有信息的价值，并且已使 进技术的出现，众多企业已将销售和服