但是目前互联网用户平均每天要访问25个涉及密码登录的网站,而分别记住这些至少14位的不同密码对于普通用户来说是一个巨大的脑力负担。
而现实状况则是,目前普通用户的密码不仅不安全,有些甚至一定作用都没有,大多数用户只是随意敷衍的设置密码。一位长期从事国家网络身份安全战略研究的高级顾问Jeremy Grant在接受Mashable网站采访时表示:“虽然12位至18位的复杂密码具有高度的安全性,但是从可用性的角度上来说,大多数人并没有这个耐心。相反,他们只有一两个简单的密码,并且到处使用。”
即使是最安全的密码也很容易遭受到大量的策略性攻击,包括暴力破解在内。当黑客或计算机通过恶意程序周期性的手动将所有可能的字母、数字与字符组合进行组合,同样存在破解密码的可能性。而为了访问私人数据和收集个人资料,黑客们还有可能冒充用户的目标网站来引诱用户填写自己的地址、电话号码和账号密码的敏感信息。从而更加轻松的获取用户的个人账户信息,这就是所谓的钓鱼网站。即使是最复杂的密码,一旦用户在这些假网站中输入一遍,都可以轻易的欺骗用户骗到密码。
而这也难怪比尔·盖茨曾经早在2004年就宣布通过密码保证安全的方法已经死亡。
在过去的十年中,不少研究人员和创业公司都在寻找加强密码安全的方法,或者完全替代它们。这些成果包括了诸如LastPass、1Password这样的个人资料管理工具,可以集中将个人数据、加密密码进行保存,并且通过基于图像或个人手势的方式进行解锁。
而一些公司已经为员工制定了二级安全措施,例如随身携带的安全芯片作为主要的安全措施。同样,谷歌公司已经透露最近计划在小型的USB设备上加入加密密匙,可以作为一些重要设备的启动密码工具。
这些更先进的方法是很有前景的,但是并没有引起太多的反响。比如像Nymi腕带这样的生物密码设备仍然具有很大的缺陷。因为生物信息是完全不可替代的,一旦被盗或复制,用户不可能重置自己的视网膜或心跳。而指纹扫描仪也面临同样的问题。“虽然指纹很难伪造,但也不是不可能。因此在银行的时候我只有在独自一人的情况下才使用指纹功能。”密码管理应用Mitro联合创始人之一Vijay Pandurangan告诉Mashable。
最近,像谷歌公司的员工都开始启用了双重认证机制,增加了额外的一层密码安全。并且要求验证两个独立的方式,通常情况下是密码和短信验证码的组合。但是,无所不能的黑客们依然可以通过诸如游戏网站等形式事先获取目标的手机号,这对于他们来说并不困难。
但是,双重认证机制依然可能是未来密码安全的关键。目前,密码在网络安全文化中处于根深蒂固的位置,并且想要让整整一代已经熟悉密码的用户完全接受另一个全新的体系并不合理。但是多重身份验证,通过传统的密码叠加通过短信获取验证码或指纹密码,是一种非常具有可行性变化的解决方案。理论上来说,一次普通的登录需要尝试的内容越多,黑客获取所有登录成功所需要的信息的可能性就越小。
“最好的安全解决方案,就是叠加多重元素的层级,因此破坏掉其中一层的话,并不会影响整个的生态系统。”Grant表示。“如果我们只是登陆到Gmail账户,可以使用普通的密码,并且通过谷歌的身份验证程序。但是想要登录健康记录或银行网站,可能就需要第二层的保护,比如电话短信验证或生物识别技术。”