DoSECU 安全报道 5月11日消息:过去我们曾经探讨过现代网络中的用户名和用户密码技术,如何对他们进行管理。笔者的建议是从局外人的角度去管理这项技术。
问题是用户只能记住非常简单的密码。用户要想记住强度大的密码经常会把密码写在便签纸上,然后粘贴在计算机或者显示器上。如果你必须使用密码,为什么不让用户使用他们记不住的密码呢?为什么不去求助One Time Passwords(简称OTP,一次性密码)呢?
当笔者和用户探讨一次性密码机制时,他们的第一反应总会想到类似RSA的SecureID key fob这样的设备。毕竟长期以来key fob被认为是传统的一次性密码设备。如今是时候向前迈进一步了。接下来我们来介绍另外两种实现一次性密码的方法。
两周前笔者在RSA大会上和来自Nordic Edge的安全人员讨论了这个话题。他们打算使用移动电话来演示他们的一次性密码解决方案。这种想法是用户使用用户名/密码技术登录,然后一次性密码服务器将SMD信息发送到他们的移动电话。用户只需键入手机短信箱中收到的PIN密码就能实现访问。其他人之前也使用过这种外带一次性密码,但是Nordic Edge公司的安全人员增加了一个新的设计。某些大客户(比如政府,教育机构和卫生保健部门)表示发送短信息是不错的想法,但是价格太贵。因此Nordic Edge公司研发了移动电话应用软件(目前已经在iPhone上使用,很快Android和采用Java编码的手机也会采用)能像SecureID那样工作–按一下键就能产生一个一次性密码。应用软件本身的密码受到其他安全措施的保护。多数企业用户已经用了必须的硬件设备。
第二种一次性密码解决方案来自Validus Technology。
为了创建更好的信用卡,Validus公司发现了一种更好的一次性密码设备。这种一种内置了指纹识别技术的信用卡。只要用手指就能产生一次性密码。将来还可以量身定做RFID形式的设备,使用生物控制和一次性密码来实现对物理和逻辑环境的访问。这种设备可以一直开启,也可以为了实现更高级别的安全通过指纹激活。
如果你还没有采用这些解决方案中的任意一种,如果你仍然在采用简单的用户名/密码来进行访问验证,赶快行动来应用更加强大的安全解决方案吧。
