对公司IT管理员来说,55%的人会复用密码,10%的人使用“password”或“qwerty”之类的弱口令;而对普通员工来说,有59%的人复用密码,在知道账户被黑之后,仅有55%的人会修改密码。
通常来说,IT管理员应该最清楚公司面临的信息安全威胁,以及避免相关威胁的安全措施。然而,根据Vanson Bourne在5月3日发布的调查报告,仅就账户密码的安全措施而言,许多IT管理员并没有以身作则。
该报告显示,在接受调查的400名IT管理员中,有55%的人使用相同的密码登录工作账户和个人账户,违反了不准复用密码的规定;10%的人则使用极易被破解的弱口令,比如password(密码)、qwerty(主键盘区左上角前6个字母)、abcd、1234、家人姓名、宠物名字、最喜欢的明星姓名,等等。
该报告称:“内部员工仍然是公司数据泄漏的头号原因。”为了提高安全性,IT管理员本身就必须采用安全性高的密码,但是他们需要同时管理多个系统,如果每一个系统都用不同的复杂密码进行登录,无疑极大增加了记忆负担。因此,为方便起见,复用密码和用弱口令的IT管理员也就不在少数。
另据免费密码管理器服务商LastPass于5月2日发布的调查报告显示,对普通员工来说,有91%的人知道不应该复用密码,但59%的人仍会这么做,他们对账户密码安全性的想法和实际行为严重脱节。而且从这一数据来看,在复用密码方面,IT管理员的比例也没有比普通员工明显降低。
按理来说,如果账户被黑就应立刻修改密码。但这份调查报告称,仅有55%的用户会在账户被黑之后修改密码,其余45%的人对此无动于衷。
随着信息技术的不断发展,黑客破解账户密码的手段也层出不穷,包含但不限于暴力破解、撞库、钓鱼邮件、木马病毒、SQL注入,等等。当然,弱口令和密码复用并不安全,不过,哪怕把密码设置得再复杂,也是治标不治本,黑客或其他恶意人员总有办法攻破“用户名+密码”的账号保护屏障。再加上“用户名+密码”保证的是账户与密码的匹配度,无法区别到人的唯一性,黑客在窃取密码之后就能顺利登陆并窃取信息。
因此,LastPass的调查报告称,90%的受访者都认为不管密码强度如何,账户都会面临被黑客攻破的风险。
近些年来,有很多业内公司都在致力于消灭密码,指纹识别、人脸识别等技术也大行其道。但是由于成本、安全性和使用习惯等问题,生物识别一般还是作为账户密码之外的辅助认证方式。
锦佰安科技认为,随着人工智能、大数据的日益火爆,未来的身份认证技术,必定是AI、大数据和多种识别方式的结合,以更好地兼顾便捷性和安全性。
由于每个人在操作手机和PC的过程中,其操作行为都存在差异,并且每个人都有自己不可复制的习惯,通过这些差异即可识别用户身份。根据这一原理,基于AI进行无感知身份验证将会是大势所趋。
基于这一理念,锦佰安科技自主研发出了国内首个AI行为识别身份认证系统——SecID,能够通过传感器多维度、多规则地收集用户日常登录系统的操作行为和使用习惯,然后基于卷积神经网络和循环神经网络等技术剔除干扰和噪声,持续深度学习其行为特征,建立识别模型并与用户本人进行相似度匹配,即可对用户身份进行确认。通过这些核心技术,SecID不仅能有效分辨当前操作者是人还是机器,而且还能精确辨别操作人是否为用户本人。
在应用SecID的情况下,输入行为本身就是身份验证过程,也就是说,整个过程是在用户无感知状态下完成的,用户也就完全无需改变操作习惯。
由于每个人的行为特征都是独一无二的,在使用SecID时,即使用户名和密码被黑客窃取,后者也无法登录账户,企业员工的账户安全也就得到了极大提升。可以说,密码是什么已经不再重要,重要的是每个员工独特、不可复制的操作行为本身。
结 语
静态密码因其安全等级低,很大程度上降低了黑客的攻击难度,使黑客可以轻松访问企业数据。在AI时代,敢于跳出窠臼,积极拥抱新技术,采用全新的便捷、安全的身份认证方式,才是企业信息安全应该要走的康庄大道。
领取专属 10元无门槛券
私享最新 技术干货