密码就快要彻底消失了,没有人怀念它
声明
题目来源于微信文章《密码就快要彻底消失了,没有人怀念它》https://mp.weixin.qq.com/s/aXSgs3NWnUSMLLIbfMPVbw,但是内容不是。
内容为个人理解的、和网上看的别人的一些观点的总结。
内容
输入“123456”,网站显示这个密码被暴力破解的时间是 0 秒。“88888888”则是 0.01 秒。现在,你很容易就能找到类似“如何设置一个无法破解的密码”的教程,多花心思就可以创建一个密码,一个需要 60 亿年才能被暴力破解的密码。
但问题是,你很有可能记不住。不然为什么很多人只要没被系统提示密码过于简单,就一定会把自己的生日用作密码。因为其他的,记不住。然后,你陷入“忘记密码 - 重置密码 - 忘记密码”的循环。
在以数字信息技术为特征的智能时代,数字信息安全是一个最为根本的生存基础。以目前的算力和算法能力,再加上现成的海量密码数据库,仅使用密码可以等同于在数字虚拟世界中裸身前行。
不要以为你可以设计出一个特别难解的密码,其结果要么就是对机器而言分分钟被破解,要么就是对人脑而言分分钟被遗忘。理论上可以设计出几万年才可以被破解的密码,但对于大众而言实用性几乎为零。
因此,对于广大消费者而言,无密码必然是趋势。最常见的就是个人生物特征验证机制和短信/邮件二次认证机制,稍微高端一点的可以使用类似于Authenticator应用的机制。但是就像我所接受过的所有信息安全培训最后总结的一样,必须“要养成安全的使用习惯”。安全的使用习惯不是一两句话就能说清楚的,这是一门专业,这也是每一个负责任的企业为什么需要不断重复进行数字信息安全培训和审查的原因。
“丢掉密码 Get rid of the password”是企业级信息系统设计者在权衡了企业信息化投入和企业员工的信息化能力之后的必然选择,其实也是一种无奈和被迫的选择,因为任何企业都无法保证员工永远不犯错,也无法期望所有员工的信息安全能力都与信息安全工程师一样。
同理,企业数字信息安全还有一个更大的误区,就是所谓的“企业内外网物理分离”机制。
不容否认,这种信息安全思维范式本身有它存在的时代必要性,但一定要牢记这只是一个权宜之计,这种思维范式是一个存在悖论。
首先,企业数字信息安全最薄弱的环节是内部的环节,是内部人员和安全流程的因素。内外网物理分离能够在一定程度上抵挡外部攻击,但解决不了内部人员和流程的弱点,它是以相信内部人的因素作为前提,违背了”零信任”的基本理念。
其次,现代化数字信息建设正在飞速发展,其目的就是要建设一个互联互通的智能社会,以期极大地提高社会的运营效率和降低运营成本,为社会生存与发展的各种必要功能(诸如政、军、工、农、学、商等领域)提供一种相对于不具备这种能力的社会形态的一种降维式竞争优势,如果基于内外网物理分离的安全机制,短期内可能感受不到整个社会效率的降低,但长期必然因为社会管理职能与运行职能的分离而造成整个社会效率的瓶颈,而因疫情加速的混合办公方式又会使这种效率瓶颈提前出现。
也正因此,目前企业数字信息安全领域还有一个逐渐流行的说法,即在零信任范式基础上的”杀掉内网Kill the intranet”,通过不断强化企业自身的数字信息安全能力建设,让整个企业数字信息系统完全放到公网上去,通过加强自身的数字信息“免疫力”来享受全面互联互通的优势。可以把这个大致理解成躲在温室内成长的花朵与在天地之间傲然挺立的苍松翠柏所能够享受到的待遇、机会、养分和空间的差别。
“杀掉内网”是一个比“丢掉密码”更加难以实现的企业信息化发展阶段,但也是一个建立具有国际竞争优势的企业之信息化的必经阶段。
招商银行·招银网络科技开奖16人在聊
投递莉莉丝游戏等公司10个岗位 >