Gartner Research的一份涉及在线安全行为调查报告,给我们带来了一些坏消息:2/3的美国用户在他们访问的全部网站中,仅使用同一个或者两个密码,而且他们喜欢这种方式。尽管人们常称自己很关心安全问题,但是他们仍然使用不安全的密码管理技术,而不寻找新的方法,比如新硬件,新软件或者新的验证框架比如OpenID。
总是使用相同的密码?你不是一个人在战斗
Gartner在08年12月对4000名美国成年人进行了调查,再次证明了比起安全,人们更愿意选择方便。这个趋势在这几年一直保留着,尽管当今的在线活动数量明显提升。
Gartner研究部主管Gregg Kreizman称,"大部分的用户依然想按照现在的方式去管理密码"。但是他们现在的方式没有什么值得炫耀的,它通常有一两个密码组成,当用户访问每个网站时都是用这一两个密码。
那么该如何应对这些问题呢?按照Kreizman的说法,在线产品和服务提供商应该加强他们的推销手段,向用户说明更加坚固的验证方法的好处和实用性。另外一位分析师Avivah Litan也指出,拥有面向客户网站的公司应该加强控制,将单纯的密码验证手段扩展到其他互补机制,比如设备验证,地理位置和交易鉴定等。
Facebook Connect的优势
这些研究结果一点都不奇怪,但是它强调了安全方面的最重要的问题之一:人为因素。对于大部分人来说,方便才是关键,即使这意味着将他们的安全放到危险中。客户宁愿依赖于服务提供商来保护他们的安全,而不愿意改掉自己存在已久的习惯。
另外以上的调查没有提现出来的是,Facebook Connect(允许用户从外部网站访问Facebook数据)对用户的验证生态系统所带来的影响。和OpenID不一样,Facebook Connect对用户来说更加有意义,人们立刻就能明白使用他们的Facebook登录意味着什么。而且,这个过程比起创建全新的用户名和密码组合来的更快,更加简单。这很容易被用户所认可和采用。
另外,Facebook Connect所解决的问题超出了单纯安全问题,这项服务可以在其他站点获得你的好友列表–这是社交网站的方便之处,而且这样能变得更加社会化,它能给Internet带来更加透明,更加友善的平台。用户必须得进行身份验证–不像"匿名人士"–参与过激的行为(留下低俗的,分裂性言论)的机会减少。这种站点还依赖于用户发表的文章,上面"枪手"留下热情洋溢的文章的机会减少了。
由于这些原因,Facebook Connect将成为互联网上新的一大验证方式。个人观点放到一边,你很难忽略社交网站所带来的潜力。
尽管它本身也将存在自己的问题,到最后Facebook Connect可能可以解决采用简单的用户名和密码形式的用户的安全问题。如果这项技术变得普遍存在,我们将得面对把所有的身份验证权力交给一个私人公司的局面,这可能会引发一些担忧–特别它成为私密的时候。而且这使得我们得好好考虑,或许简单的,重复的密码可能也不是一件坏事。