随着“泄密门”事件的不断升级,揭露了“用户重复使用相同密码”这个普遍存在的巨大安全隐患。
据一位不愿意透露名字的CSDN用户介绍,她的CSDN账户信息被泄露,通过一连串事件,搜狐、Gmail、网易、雅虎等邮箱全部“沦陷”,一觉起来全部无法登录。这些邮箱是她登录论坛、SNS、支付宝,以及各种购物网站的方式,“绑定”了她所有的互联网生活。由于各个邮箱之间错综复杂的关联,她无法通过密码取回的方式来取回这些邮箱。
理论上而言,最安全的账户保护方法就是一个账号一个密码,并把密码尽可能设置地复杂、混乱一些,而且每个账号密码互不相干、相互独立。但普通人只能同时记忆4-5个不同的密码,而且长度与复杂度很有限,非常容易重复和被猜出。因此要实现“为每一个账户设置不同的密码,而且每个密码都很长,并且是由数字、字母、标点组成的”这个安全目标,只能通过辅助手段才能实现。
目前有以下几种常用手段:
1. 密码保险箱、密码U盘:
将用户的账户密码通过加密方式,统一保存在一个加密文档内,再存放在本地硬盘或U盘中,通过“管理密码”管理这个文档和所有的账户密码,用户只需记住管理账户的密码即可获得其他账户的密码。
l 使用范围:用户只需安装相应加密软件即可进行使用,如1Password;
l 用户体验:用户的登录过程需经过“输入管理密码解锁”→“寻找当前所需的账号密码”→“手段操作进行账户密码输入”几个步骤,使得用户密码输入的过程变得更加繁琐。
l 安全性:加密文档可以被黑客窃取,一旦管理密码被黑客破解,用户的所有账户密码信息均会被黑客所获悉,这就给用户带来很大的安全隐患。而且无法应对“钓鱼网站”的欺骗。
2. 手机动态验证码:
用户在登录或进行重要操作时,通过给用户发送随机验证码到用户绑定手机来保障用户安全。
l 使用范围:由于手机动态验证码的运营成本高,只有少数银行和支付类公司使用;
l 用户体验:用户密码输入的过程变得更加繁琐,而手机没电、信息延迟、手机网络拥堵等都会直接影响用户操作;
l 安全性:存在绑定的手机号码被恶意更改,手机被盗用或信息被窃取的可能。而且也无法抵御“钓鱼网站”的欺诈。
2010年2月3日,一位淘宝的五皇冠卖家便被盗号者利用假身份证通过办理换手机卡业务,进而盗刷了卖家4365元。
3. U盾、U Key等:
通过给用户配备U盾、U Key等“动态密钥”,在登录或进行重要操作时配合使用。
l 适用范围:由于此方法的维护费用十分昂贵,所以目前只有支付宝和部分银行等有资金有实力的企业使用;
l 用户体验:由于不同网站会配备不同的U盾,所以数量多了将难以管理;还需要输入U盾密码进行使用,密码安全的隐患依然存在。
l 安全性:盗号者只有同时获得密码及U盾才能盗用,因此安全系数高。
4. myPass生物认证密码保护系统
myPass生物认证密码保护系统有别于市面上常见的“指纹仪、指纹U盘、面形识别软件”,它是世界第一款也是唯一无需修改电脑硬件与软件,就能自动输入和登录所有电脑上的帐号与密码的全新产品。myPass包括USB嵌入式硬件与PC软件组成,能帮助用户记忆和加密存储电脑上所有的账号与密码,并且具有生物识别认证功能,身份认证成功后能够在电脑的登录窗口上自动完成账号与密码的输入。
myPass采用生物识别应用技术,将用户的账户密码资料加密存储在独立的的硬件设备内,只有身份认证成功才能解密和调用对应的账户密码信息,即使myPass遗失或被人获取,别人也无法获得用户账户密码信息。
l 适用范围:虽然myPass需要付费购买,但是能够适用于所有登录环节,因此平均费用很低,适合各个层面有需求的人士采购;
l 用户体验:myPass解决了“密码记忆、泄露、遗忘、数据盗用”等问题,而且用户认证与登录过程很快捷,因此用户体验很好。
l 安全性:由于所有数据、认证过程、加解密过程都是独立于电脑,因此安全性非常高。而且可以识别“钓鱼网站”,再次提升安全性。
有了myPass,用户可以将每一个密码设置成不同的,而且长度很长、复杂度很高的强密码,并将密码保存在myPass里面。这样既解决了密码的安全问题,又解决了用户记不住密码的烦恼。
以下是各种辅助手段的对比表
|
辅助手段
|
密码保护箱
|
手机动态密码
|
U盾、U Key等
|
myPass密码保护器
|
|
使用范围
|
全面
|
局限
|
局限
|
全面
|
|
用户体验
|
差
|
差
|
一般
|
好
|
|
安全性
|
差
|
一般
|
高
|
高
|
因此,要实现“一个账户一个密码”的安全理想,每个人只需要配备一套U盘大小的myPass,就可以在任何电脑上安全便捷地进行账户登录、电子交易、资金管理。