9月7日-8日,相约 2023 腾讯全球数字生态大会!聚焦产业未来发展新趋势! 了解详情
写点什么

美国政府新计划旨在寻找密码替代方案

  • 2011-09-23
  • 本文字数:1390 字

    阅读完需:约 5 分钟

为了解决密码带来的虚假安全问题,美国政府启动了一项新的计划,寻找替代方案,并试图和私营企业的领导者就替代方法的标准达成共识。新的网络空间的可信任标识的国家战略(NSTIC)项目是国家标准与技术研究所(NIST)机构的一部分,于 2011 年初正式设立,资金有限却雄心勃勃。

密码出了什么问题呢?IT Business 的一篇文章这样描述:

大部分的人的所有账户都使用同一个密码。一旦黑客拿到这个密码,他可以大搞破坏,冒名顶替,破坏你的信用,毁了你和他人的关系和曝光你的隐私。

密码保护——或者缺少——是 IT 行业的不为人知的小秘密。密码是容易攻破和过时的保护模式,但是每个人都依赖它,并且好像密码做了它们应该做的。

纽约时报(New York Times)的文章指出过分依赖强壮密码转移了我们对键盘记录器(keylogging)的担心。

一些计算机安全专家正在推动不一样的想法:密码可能不需要很“强壮”,或定期修改。他们认为密码过分的要求给了我们抵御潜在攻击的虚假的安全感。他们说,事实上,我们对更严重的威胁没有给予足够的重视。

这里有一个例子可能让你彻夜难眠:键盘记录器软件,一种 PC 机上的病毒,记录所有的键盘敲击——包括你最复杂的密码输入——然后在后台发送给远程的黑客。

泰晤士报 (The Times) 则引用可用性专家 Donald Norman 的发现,指出过于复杂的密码规则实际上为系统的运行带来了负面影响。

[Norman 说]“不合理的规则最终让系统更不安全:用户最终用笔记录下密码然后把他们放在随手可得的地方”。

当谈及 NSTIC 项目时,美国总统奥巴马这样憧憬:

NSTIC 战略的目标是找到一些比“不安全的密码”更好的方案,来让“线上交易更值得信赖。”

要做到这一点,这个计划必须和公司合作,以找到互联网范围的解决方案,这些公司的方案之前就不依赖密码,如可信的身份提供者和生物识别解决方案。虽然像一次性使用的密码或通过 Verizon 或 Google 提供的单点登录方法,可以减少风险或提供可靠的身份验证,但是一些人仍然觉得生物识别安全技术是提供核心标识的最好方法之一。 Jericho 论坛负责 Open Group 的 Paul Simmonds,支持这个观点

“核心标识是你”。Simmonds 说,“你的人类核心标识是你的脸。最关键的是只有你才能使用它。”

Simmonds 相信一旦一个强标识被建立,如脸的生物特征,“它将允许你创建一个人物并链接到它。重要的是不要本末倒置。”

他说首选的身份标识的生态系统是一个不依赖巨大数据库信息,而只是简单依赖核心标识的可信任的和安全的登记。可能是使用基于芯片卡的技术。“他们不需要知道我是谁。我能证明我是谁。”

很多组织都在寻找在验证用户身份时,如何避免可重复使用的密码。Google 和 Apple 都对近场通信(NFC)技术进行投资,这种技术可以在距离很近的设备间建立安全的通信。一个剑桥大学的教授设想和提出一个小装置,利用光学和加密技术,以取代所有的密码。这一领域的创新现在有机会能得到NSTIC 的2500 万美元的资助,其中70% 的资金用于试点方案,目的是证明这些想法能否在更大的范围推广。我们应该会在2012 年看到这些试点的项目,可以通过资金资助计划资助个别组织。

查看英文原文 U.S. Government Program Seeks Alternatives to Passwords

译者介绍:詹涛,毕业于武汉大学,目前在趋势科技(中国)研发中心工作,从事测试工作六年。对邮件安全领域比较了解,正在追赶云。拜读了几乎所有温伯格的作品,踢球是最大爱好,喜欢马拉多拉,讨厌贝利。

活动推荐:

2023年9月3-5日,「QCon全球软件开发大会·北京站」 将在北京•富力万丽酒店举办。此次大会以「启航·AIGC软件工程变革」为主题,策划了大前端融合提效、大模型应用落地、面向 AI 的存储、AIGC 浪潮下的研发效能提升、LLMOps、异构算力、微服务架构治理、业务安全技术、构建未来软件的编程语言、FinOps 等近30个精彩专题。咨询购票可联系票务经理 18514549229(微信同手机号)。

2011-09-23 21:591643

评论

发布
暂无评论
发现更多内容

开源商业模式促进金融业科技生态的发展

FinClip

开源 金融科技

Kubernetes 将迎来首个 LTS 版本

倪朋飞

Kubernetes 容器 微服务

Flutter引擎源码解读-内存管理篇

稻子

flutter ios android 跨平台 dart

理解 KL 散度的近似

Neil

人工智能 学习 Deep learning Machine Learning

写字工具更新史

Bonaparte

学习 读书笔记

Redis 6.0 新特性-多线程连环13问!

牧码哥

redis 多线程 io

【译】【UX】一个页面可以有多个面包屑导航吗?

Yukun

用户研究 UX 面包屑导航

利用goaccess分析nginx日志

Megatron7

nginx Linux

业务代码的救星——Java 对象转换框架 MapStruct 妙用

周三不加班

MapStruct 对象转换

从一道面试题来看计算机基础知识的重要性

周三不加班

数组 堆栈 函数栈 函数栈调用

字节流(InputStream/OutputStream)

Howe

Java 工作流

python 之 「奶茶名字」的词云展示

小匚

Python python 爬虫 python教程

《零基础学Java》 FAQ 之 1-HelloWorld程序发生了ClassNotFound错误怎么解决

臧萌

Java Hello World !

快捷考勤打卡设置

Megatron7

ios

《零基础学Java》 FAQ 之 2-Java版本那点事儿

臧萌

Java

Java并发编程基础--volatile

Java收录阁

volatile 线程

Python3.6.1官方文档练习——初入江湖(一)

小匚

Python python3.x 入门

Graylog部署文档

蚍蜉

Linux 开源 工具 日志分析

取舍与可测试

孙苏勇

产品 产品设计 产品开发

maven私服搭建

kcnf

maven

pip 配置路径要死记硬背?

风起帆扬了

Python Linux windows pip

MySQL中 int(11)和 int(10) 到底有没有区别?

周三不加班

MySQL 字符宽度 数据库数据类型

一次线上服务高 CPU 占用优化实践

挖坑的张师傅

性能优化 JVM cpu

Bash 的4种运行模式

Megatron7

bash Linux DevOps Shell

有节制的设计

胖鱼2号

微信 设计 無印良品

一个平凡程序员的年度总结

小智

程序员 人生

从删库到跑路?

芦苇

产品 职业 产品经理 职业素养 职业道德

聊聊苹果账号的那些事儿

不要艾特我

iphone

css常见问题总结

靖仙

CSS css3

Redis学习笔记(字符串类型)

编程随想曲

redis

回"疫"录(8):我怀疑我病了

小天同学

疫情 心理 回忆录 现实纪录 纪实

  • 扫码添加小助手
    领取最新资料包
美国政府新计划旨在寻找密码替代方案_安全_Richard Seroter_InfoQ精选文章