超越密码时代——我们需要更强的安全验证系统（一）

肖裕平

2005年6月

今天，大多数中小型企业采用设置各种密码来保证他们公司和客户的数据安全。但随着黑客技术不断地得以提高，现有的密码验证系统不断受到挑战。今年6月有，全球信用卡巨人MasterCard公司被黑客入侵，4千万信用卡用户的财产受到了威胁。看着这种“魔高一丈”的情况愈演愈烈，我们不禁要问：我们的密码还能起到保护作用吗？如果不行，还有什么更能令我们安心的技术吗？

       许多公司强制规定了密码的长度，复杂性和更新周期，因为他们相信，如果黑客对密码采取暴力破解的手段，那么超过7个字母的复杂密码要比短而简单的密码更令黑客们感到棘手。理论上这样想是没错的，可如果你用过L0phtCrack和John The Ripper这样的黑客工具，你就会意识到即使是长而复杂的密码，其实际破解时间也远比你想像的要短得多。

       此外，没有哪家公司的员工会喜欢一个复杂繁琐的密码系统——每个人都有十几个密码，每个密码都不相同。更令人头疼的是，你不但需要记住它们，还不得不去考虑密码的复杂性、更新周期以及是否被重复使用等一系列问题。人们出于天性会去选择一些容易被记住的密码，比如生日，亲戚朋友、子女，宠物或者喜爱的球队的名字。为了既满足公司规定的密码复杂性，又便于自己记忆，人们想出了不少方法来试图作到“两全其美”，举例来说：有些人习惯于在一个相同的字符串后面增加一个不同的数字以形成多个类似的密码，因为这样比较便于记忆。但是，这种习惯会造成安全隐患，如果黑客使用字典（dictionary）或不完全知识（partial-knowledge）的攻击手段，就会使得所有相关密码在数分钟内被轻易地破解。另外，大多数人为了记住长而复杂的密码，就把它们写下来，试想，如果这张记着密码的纸被居心不良的人得到，那么密码后面的数据就面临着很大的危险。还有些人将密码存到电子文档中并对其进行加密，或写成Email存到Email文件夹中。尽管这种“加密”密码的方法确实提高了安全性，但是这种保护手段依然是基于密码的，无论是加密文件还是邮件系统，我们始终需要有一个密码才能得到其它密码，这最后一个密码该被如何看管呢？

       此外，不管我们设置的密码有多长，有多复杂，它们都有可能轻易地被黑客利用社会工程学所窃取到。在过去，黑客会假扮成技术支持人员打电话给公司员工，请他们一起协助去解决一个系统问题，并以此为理由向员工询问他们的密码。今天，黑客使用垃圾邮件使得用户不能正常访问电子邮箱，并假冒该网站的邮件管理员向用户“确认”其密码，以达到窃取密码的目的。

       种种迹象表明，今天简单的密码验证系统在用户验证功能和访问控制方面已显得力不从心。一个简单的密码系统与其它网络安全设备，如安全服务器、防火墙或VPN设备等在安全能力上的差距，就像一个纱窗与银行金库门在坚固性上的差距一样。所以，如果我们的ISP们想要减少自身的风险，同时增加客户对他们的信任，那么，去使用更强的验证系统无疑是一个不错的选择。

探索更强的验证方法

       越来越多的验证方法在最近几年被迅速地实现，包括令牌（token），智能卡（smart card），数字证书（digital certificate）和生物测定（biometrics）。尽管这些方法在其复杂性、成本和强度方面各不相同，但它们有着共同的目标：通过一个或几个因素，来证明一个人正是他所自称的那个人。

       验证的因素应该包括：

• 一些你所知识的因素，如密码或个人身份数字（PIN）
• 一些能表明你是谁的因素，如指纹、脸部或声音扫描
• 一些你所持有的特殊因素，如一个USB令牌或智能卡

我们都知道，设置一个密码是免费的，你也不需要什么专业人士帮助就可以轻松地搞定，而且所有操作系统和C/S（Client/Server）结构的协议都有密码验证的功能，你不需要购置额外的软硬件。正是由于其成本低并且设置起来简单，所以密码和PIN才会被人们广泛地使用，但事实上，它们并非完全和成本没有关系，密码的重新设置和恢复工作将会造成一定的花费。根据Burton小组和Gartner研究室的统计，在所有客户端桌面技术支持的工作中，密码的重新设置占到了30％，而每次桌面技术支持会产生25$的花费（中国的网管没有这么贵）。很显然，密码的验证产生了一种看不见的花费，而且会不断增加。因此。在你意识到脆弱的安全系统会为你增加运营成本时，你可能已经为此多花了不少钱。

但令人遗憾的是，比密码更强的一些验证手段不但成本更高，而且实现起来也比设置一个密码要困难不少。你的新安全系统会在以下几个方面造成花费：

• 硬件成本：购买USB令牌，生物扫描验证设备等硬件的花费
• 分发成本：你需要初始化每个证书，并且将它们和所有的员工身份相捆绑
• 架构成本：购买，安装和维护新的验证服务器和数据库的花费
• 替换丢失的、损坏的硬件的成本：这虽然这不会像重设密码那样频繁，但其成本却比一次桌面技术支持要高

既然如此，我们为什么要自寻烦恼地使用这些新的安全验证系统呢？因为它们确实物有所值。这些更新更强的验证系统可以有效地将那些使用社会工程骗取密码的人和能够破解密码的人拒之门外。与传统密码验证系统相比，对于员工来说，他们可以随意共享密码，但要想共享他们的身份令牌或骗过生物测定系统却相当困难；对于管理员来说，你不再需要每隔一段时间就更新员工的密码，尽管你可能需要在一开始培训你的员工，但与记住那些既长又复杂，而且还总是变来变去的密码相比，这些简单易用却更加强大的验证方式将会更受欢迎并被迅速接受。

      如果这些新的验证系统还不能使你放心，你可以尝试将原始的密码验证系统与新的安全系统相捆绑。举例来说，将员工的 USB身份令牌与一个PIN捆绑，即当员工使用USB身份令牌进行验证时，系统还要他再输入一个PIN。如此一来，即使用户的PIN被窃取，没有身份令牌也无法侵入系统内部。反过来说，如果员工的身份令牌被窃或遗失了，只要没有那个PIN，令牌也只是一个彩色的塑料小玩意儿。因此，这种二元验证的方式很受那些安全要求高的组织欢迎。

      如果你选择了二元验证系统，你的网络系统将会得到更好的保护，非法入侵的机率将大大约缩小。但是，构造这样的安全验证系统所花费的成本与其所真正起到的作用之间的关系很难去量化。问题在于，对于那些可能发生但还没有发生的非法入侵，我们如何去测算其造成的损失？

      根据CSI(犯罪现场调查Crime Scene Investigation )/FBI对于2004年电脑犯罪的调查，10个里面就有4个公司有被非法入侵过，从而导致每家平均$42,000的经济损失。

       信息安全的管理者们在采用一种安全验证系统之前需要去考虑很多问题，比如考虑所在的行业有哪些特点？所掌握的数据有哪些类型？公司是否需要去遵循国家所要求的安全标准？客户们是否依靠你们去保守他们的私人信息？好比信用卡的支付记录。当安全系统被攻破，公司是否能够承担其所造成的损失？总而言之，只有在仔细评估了自身的安全需求后，才能决定自身所需要达到的安全级别，才能明智的决定哪一种安全验证系统是最为合适的。为了让你和你的客户们能够晚上睡得更好，这一切努力都是值得的。

  未完待续....