“希望用户重新设置完全不同的密码,而不是使用和利用其他互联网服务相同的密码”--这番话会经常出现在遭受网络攻击的新闻稿中。每当笔者看到这类说辞会感到非常不舒服。
实际上,笔者非常明白对方想要表达的意思。对方不过是在提醒用户,为了确保用户自身的安全,应当尽量避免轮流使用相同的密码。但是,个人觉得这完全是在推卸责任。也许这么说是因为笔者过于挑剔,或者是因为记者的职业病所致。
以前笔者曾在一篇文章中谈到,网络用户“能够记忆的”密码数量平均大约是3个。因此,要求 网民“不要重复使用密码”是根本不可能的事情。
本来ID和密码作为验证本人的方法之所以得以普及,就是因为它比其他验证方法更为便利。
而这种便利的前提条件就是“重复使用密码”。如果不能重复使用密码,每次输入密码时都要拿出手册启动密码管理软件,其验证本人的方法非常麻烦。
目前,ID和密码的使用方法越来越繁琐。如果用户使用的终端只有1台电脑,那么使用浏览器的密码自动完成(Autocomplete)的功能即可。但是,目前很多用户使用智能手机等多种终端利用各种服务,因此每当通过新的终端访问时就必须输入密码。
须知密码已“露出破绽”,要采取减少风险的对策
笔者曾问一位IT安全专家验证技术的未来会如何,这位专家便笑着回答“只依靠ID和密码的验证方法已经彻底失败啦”。最初笔者听到这一回答难以相信,试图加以反驳但最后不得不作罢。实际上,目前黑客网络攻击事件持续不断,这是因为攻击技术也在不断升级。
最近2~3个月出现的网络攻击,据说多半采用的是被称为密码“list attack”的攻击方法。这种方法是黑客利用从某网站服务泄漏的ID和密码,企图登陆其他网站服务。这种情况下,通常黑客成功登陆的几率非常高。
即便被盗的密码采用的是不可挽回加密技术即散列函数(hash function)化的密码,也不保险。例如,使用MD5和SHA-1等散列不可更改的密码,可通过电脑搭载的通用计算机图形处理器(GPGPU,GeneralPurposeGPU)进行解析,并能够快速恢复原密码。
经营IT服务的企业,首先应当接受依靠ID和密码的验证方法已经失去意义的事实。而一边劝告用户“停止重复使用密码”,同时又不去尽力改善目前的验证方法,毫无疑问,这种做法就是向用户转嫁责任。
下面,介绍三种尽可能减少网络攻击风险的对策。
1、在现有的密码的基础上,采用多种验证方法
美国Twitter2013年5月22日宣布,为防止.IP欺骗,将提供基于一次密码(OTP,One-time Password)的两步验证即(即第一步为传统密码,第二部为物理设备认证)选项功能(目前日本尚未采用)。此外,已经采用这种方式的有谷歌公司和美国Dropbox,美国Evernote也表示将提供这种功能服务。目前,日本雅虎的短信服务提供的就是一次密码即动态口令。
笔者是Dropbox的重度使用者,目前它所提供的短信服务的动态密码,使用起来便利且明显感到安全系数得到提升。用户无需为了将6位数字的密码显示在iPhone的待机画面,进行解除上锁的终端等多余的操作。
以上这种在传统的密码的基础上进行改良的验证选项,特别对那些处理大量个人数据的网络服务来讲不可或缺。这是因为即便是使用同一种服务,根据用户的使用方法,保存个人数据的重要性有所差异。就比如亚马逊的购买记录,可能不过只是购买设备的清单而已,也有人会将其思想和性取向完全暴露无遗。又比如Twitter上的推特可能只是有关日常生活的内容,也有可能像美联社的账户被盗事件那样,成为导致股市剧烈波动的原因。
2、将网络攻击“可视化”
如果每当发生网络攻击事件时,网络服务企业才想到要解析自家网站的日志,结果发现自家也受到黑客攻击,这种管理体制则必定无法保护用户不受到攻击。网络企业应当尽快认清黑客攻击已成家常便饭的事实,在此基础上建立日常监控体制。
具体的讲,比如采用可控管类似“突然来自国外的IP地址登陆”等不正常的访问的基于风险验证的结构;完善监控体制,不放过任何类似“来自同一IP地址的大量访问”以及“非正常登陆失败率增加”等非法访问的预先征兆。对于怀疑有非法访问的账户,迅速告知用户,或是采取将账户锁定的措施。
3、将安全职能从ID部门分离出来 实施安全监控
某IT企业的安全负责人对笔者说:“ID部门的技术人员对安全问题并不重视”,这番话让笔者大吃一惊。但是,仔细想来出现这种情况也不奇怪。这是因为评价管理用户ID和验证系统的ID部门员工关键绩效指标(Key Performance Indicator,KPI),很多是“增加用户ID数量”。也就是说,会员数量越多,部门的评价也随之提升。
正因为如此,ID部门在权衡验证的便利和安全强度孰轻孰重时,不可避免常常更重视前者。例如,并不会强行要求用户“使用10位数以上的密码”等更为严格的规定,而是试图维持现有的宽松的规定。
而纠正这种倾向就需要将安全监控职能,从ID部门完全独立出来,以便能够客观地指出验证系统的安全漏洞,进一步改善安全监控系统。如此一来,上述1~2项措施也会容易实施。
未来ID和密码会不会消失
采用比ID和密码更为便利且安全的验证方法,这曾是IT业界长期以来一直梦寐以求的“梦想”。但是,正因为使用密码的方法太便利(可以重复使用),这一尝试几乎都已失败告终。
例如,日本最大的电信服务供应商NTT DoCoMo就曾有试图采用取代ID和密码的验证方法但遭致失败的经历。1999年,该公司发起了一种名叫i-Mode(information-mode)的行动上网模式,提供移动电话与Internet网的持续连接。它采用高强度本人验证方式,将终端和网络以及用户结合在一起,用户只需使用4位数的密码即可进行银行汇入业务。利用几乎所有的服务,均无需ID和密码。
但是,由于智能手机的迅速普及,彻底改变了这一状况。开放的操作系统、多设备化、移动网络和WiFi实现无缝连接的环境下,像i-Mode这种强力的本人验证方法已没有未来。因此,NTT DoCoMo试图重新采用ID和密码,这也是技术发展的必然现象。至少这1~2年内,恐怕很难出现能够替代的验证技术。
那么,在还没有发现可代替密码的验证方式的情况下,也只能继续使用这种方法。而网络企业首先必须接受“依靠ID和密码的验证方式已经行不通”这一事实,并有责任实施上述保护用户的措施。