专家：密码防护已显不足

分析师Ant Allan周三在伦敦的Gartner IT安全高峰会上指出，“随着针对密码的威胁攻击愈来愈多，密码防护已经不足以防护企业安全。”

威胁增加与Wi-Fi与Web服务等新兴技术的出现有密切关联。这些服务的出现引发不肖人士利用它来犯罪的念头。采用这些技术可能带来很大业务上的价值，但是安全也需要跟上，Gartner说。

犯罪手法的专业化与攻击走向复杂，使得企业使用愈来愈长的密码，或是经常变更密码。但Gartner研究副总裁Jay Heiser指出，“这是不智的，因为使用者反而被搞到忘记密码或干脆把它写下来，进而为安全带来各种威胁。”

未来的认证授权技术“将更加强大，”Allan表示，“RSA安全令牌、智能卡及生物辨识也会愈来愈普及。但这些方法的问题在于布署成本太高，”他说。

有些安全专家呼吁企业使用双因素认证(two-factor authentication)──除了密码外再使用另种认证技术──但其他专家则不同意这是未来趋势。知名安全专家Bruce Schneier今年稍早接受访问时指出，“许多厂商宣称双因素认证是我们现有身分窃取问题的解答，但其实它解决的是十年前的问题。”

“我们发现欧洲企业比较能接受较高价的解决方案，但是美国企业态度则较为保留，因为他们不想让太复杂的程序增加用户负担，”Allan说。

便宜一点的解决方案还包括一次性密码认证（one-time password authentication）移动电话令牌或ID卡。

安全公司Aladdin企业销售资深副总裁Colin Thompson同意企业未来需要将实体身份与数字身份做某种程度的结合。

“利用银行账号做交易时，你得要有金融卡和PIN，如果那张卡掉了，你的安全就要小心了。我们得要有某种智能卡或证明，因为企业内部的个别使用者还是可能有受害。”

“双因素认证将是未来趋势之一。但如果你已进到系统内，过程就得再简单一些，不同网站不应该还要使用不同的用户名称或密码。”

而密码愈来愈不安全的另一个原因是，网络上可以轻易下载到破解工具，另一位Gartner分析师John Girard说。

“例如一种名为Magical Jellybean的工具，如果你的授权密钥掉了的话，它可以把它找出来，”他说。

大部份密码的问题在于没有东西可以承受你一次又一次的刺探，最后都会屈服在暴力之下。甚至还有免费的Word及Excel密码回复工具可以更暴力破解密码。

“破解较长的密码要花差不多16个小时，但如果有人下定决心要闯进去，他还是办得到的。”Girard说。