密碼技術弊端顯現(xiàn)　生物識別漸受追捧

　　美國《華爾街日報》網(wǎng)絡版上周日刊登題為《跟密碼說再見》(Say Goodbye to the Password)的評論文章稱，由于密碼技術在便利性和安全性方面的弊端逐漸顯現(xiàn)，相關企業(yè)紛紛開始尋找替代方案，而以指紋為代表的生物識別技術則成為最受追捧的領域。以下為文章全文：

　　生物識別受寵

　　密碼有一個根本問題：只有當密碼很長、很復雜，而且經(jīng)常更換時，才能給企業(yè)帶來最大的保護作用。換句話說，只有當員工最不可能記住密碼時，效果才最好。

　　因此，科技公司都在爭相提供更安全、更便利的措施。很多筆記本現(xiàn)在都已經(jīng)內置了指紋傳感器。智能手機和其他設備同樣也對面部和語音等生物識別技術敞開了大門。

　　蘋果公司去年收購了指紋傳感器技術開發(fā)商AuthenTec，并在上周二宣布，新的iPhone 5s將內置指紋傳感器。微軟也表示，下月推出的Windows 8.1操作系統(tǒng)將也將針對指紋識別技術進行優(yōu)化。該公司認為，生物識別技術將在該系統(tǒng)中得到更廣泛的應用。

　　與此同時，谷歌、PayPal、聯(lián)想等公司已經(jīng)共同組建了一家名為“快速身份驗證聯(lián)盟”(Fast Identity Online Alliance)的組織，希望能為生物識別和其他形式的“強認證”模式制定行業(yè)標準。

　　谷歌正在嘗試一種由美國Yubico公司開發(fā)的新型硬件令牌。與可以產生隨機數(shù)字密碼的傳統(tǒng)硬件令牌一樣，Yubico的設備也可以生成暫時的密碼，以便對員工身份進行認證。

　　不過，企業(yè)員工無需從用令牌查看密碼，然后重新輸入，只需要將令牌通過USB接口插入電腦，或是使用NFC(近場通訊)技術與移動設備接觸一下即可。

　　谷歌正在員工中測試這種令牌，并計劃明年將其作為一種更安全的方式，推廣給Gmail和其他谷歌賬號的用戶使用。

　　谷歌安全工程總監(jiān)馬巖克·尤帕德亞(Mayank Upadhyay)表示，這種令牌很容易使用，而且具備很強的加密功能。

　　“我們認為，這種令牌已經(jīng)加強了我們的安全標準?！彼f。這種令牌可以與谷歌的Chrome瀏覽器兼容，并且可以緊密融合到谷歌的日常工作流程中。

　　風險評估模式

　　另外一種以風險評估為基礎的方案則是由EMC旗下的RSA安全部門開發(fā)的，該公司曾經(jīng)推出過應用廣泛的SecurID硬件令牌。

　　這種技術可以仔細分析公司內各個部門的海量用戶數(shù)據(jù)，以此建立一套存儲著“正常行為模式”的數(shù)據(jù)庫，然后對每個用戶展開風險評估。如果某位員工的行為出現(xiàn)異常，例如從新的地點登錄、使用不同的電腦或訪問不屬于自己的系統(tǒng)，風險評分就會增長，系統(tǒng)便有可能向該員工索取額外的認證資料，例如通過電話確認其身份。

　　很多人預計，隨著越來越多的員工將自己的智能手機和其他設備帶到工作場所使用，安全領域的格局將會發(fā)生很大轉變。雖然個人設備的滲透通常被視作是一大威脅，但有些分析師卻認為，移動設備反而可以通過簡化生物識別技術的使用流程來改善安全性，因為多數(shù)手機都配有麥克風和攝像頭，而且可以確定員工所在的位置。

　　“我們認為生物認證今后將非常熱門，而這一趨勢的發(fā)展動力則是移動計算。”美國市場研究公司Gartner研究副總裁安特·阿蘭(Ant Allan)說。

　　他解釋道，對大企業(yè)來說，為每位員工配備新硬件將產生高昂的成本，因此能夠利用員工的個人設備將具備很強的吸引力。另外，擁有移動設備的員工可能會發(fā)現(xiàn)，指紋識別器比記住并輸入密碼好用得多。

　　西班牙馬德里的Agnitio公司也在探索新型安全工具，他們已經(jīng)將語音識別軟件應用到執(zhí)法行動中。利用該公司開發(fā)的系統(tǒng)，員工只需要說一個短語即可登錄進去。

　　與此同時，英國倫敦的PixelPin則希望用密碼取代圖片。例如，可以選擇一張自己配偶的照片，然后通過順序點擊他面部的四個位置，便可順利登錄系統(tǒng)。該公司聯(lián)合創(chuàng)始人吉奧夫·安德森(Geoff Anderson)表示，照片比文字密碼更容易記憶。

　　思維密碼成真

　　加州大學伯克利分校的研究人員正在研究通過腦電波認證身份的方式。他們的測試項目需要用戶佩戴一副耳機，以便在其想象著完成特定任務的場景時探測其腦電波信號，該項目在區(qū)分不同人的身份時已經(jīng)能夠達到99%的精確率。從理論上講，想象某個任務時釋放的腦電波可以成為員工的“思維密碼”。

　　多數(shù)專家預計，企業(yè)將使用不同的認證方式。例如，紐約州的薩拉托加醫(yī)院(Saratoga Hospital)使用了指紋讀卡機來代替密碼。但該院安全分析師加里·穆恩(Gary Moon)表示，雖然他們已經(jīng)解決了很多安全問題，但指紋識別器有時會失靈。還有一些年齡較大的員工難以將手放在指紋讀卡器上靜止不動，而且當人們佩戴手套或手指過于干燥時，指紋識別器都無法使用。還有一些員工直接拒絕使用指紋認證。

　　因此，薩拉托加醫(yī)院不得不將密碼作為后備安全系統(tǒng)使用。

　　“認證領域沒有萬能方案?！狈菜埂け燃s恩(Vance Bjorn)說，他創(chuàng)辦的DigitalPersona公司為薩拉托加醫(yī)院供應了指紋識別器。他認為，企業(yè)需要同時采用不同的技術，以便適應不同的情況。

　　“一項技術可以解決某些問題，但未必能為所有人都充分考慮到安全、便利、成本和易用等各方面的因素?！?比約恩說。