使用用戶名/密碼作為主要安全機制的分布式信息系統(tǒng)正在普及。二十多年前，那時系統(tǒng)沒有廣泛應(yīng)用遠(yuǎn)程訪問，那時高級持續(xù)威脅（APT）僅僅針對acid reflux 形式，密碼是非常有效地。那是驗證用戶的身份是非常容易證明的。但是，如今系統(tǒng)的高度復(fù)雜化和隨時隨地需要訪問一個令人眼花繚亂的互聯(lián)系統(tǒng)陣列，同樣地，僅僅依靠密碼去保護(hù)那些具有不同危險程度的系統(tǒng)（從訪問你喜歡的棒球隊到你公司的遠(yuǎn)程站點），看上去就像是一個奇怪的二分法。驗證一個用戶不在是那么高度可信了。

隨著信息系統(tǒng)在過去二十多年的迅速發(fā)展，相應(yīng)的安全機制并沒有跟上。相反，在現(xiàn)代社會，密碼的使用變得根深蒂固，平局每個人需要記住5到7組不同的密碼。

長期以來，安全專家總是宣傳使用長（12個以上字符）和復(fù)雜的密碼（大寫字母，符號和數(shù)字），不同的平臺之間不要重復(fù)使用密碼。雖然理論上這是好的建議，但在實踐中，有嚴(yán)重的缺陷。選擇最容易的方法，這是人類的天性，特別是，在遇到更加復(fù)雜的情況出現(xiàn)時做出選擇。因此，許多人會使用他們Facebook的基本相同的密碼作為他們公司的商業(yè)賬號密碼。

你能回想起5個完全獨立的復(fù)雜密碼嗎？我可以確定某些人不能記得（我可以勉強記得我鞋的尺碼）。是的，現(xiàn)在有很多軟件工具能夠幫助我們減輕記住這么多密碼的煩惱（例如自動密碼管理軟KeePas）或者修改例如口令而不是密碼，因為這些口令可以是大腦中更容易記得的。然而，這只是使人們更容易記住密碼，并不能解決密碼安全根本上的弱點。

即使最好的密碼保護(hù)措施也可能會很容易的被破解

為了說明這個道理，讓我們假設(shè)每個人都是用冗長的并且復(fù)雜的密碼（我懷疑要做到這點需要哈利波特用魔法做到）。使用社會工程攻擊方法，例如網(wǎng)絡(luò)釣魚攻擊，會發(fā)生什么呢？惡意軟件利用鍵盤記錄器記錄鍵盤操作情況會出現(xiàn)什么現(xiàn)象呢？即使假設(shè)每個人都使用最好的密碼保護(hù)措施，用戶名/密碼也會被惡意病毒很容易的欺騙從而獲取信息。所有的安全專家都會指責(zé)用戶沒有按照冗長和復(fù)雜的密碼標(biāo)準(zhǔn)設(shè)置，這樣可以確保不會面臨上述的危險。

多因素驗證是什么呢？當(dāng)然，它是延長密碼生命周期的解決辦法。多因素驗證是一種純粹的戰(zhàn)術(shù)移動，迫使網(wǎng)絡(luò)黑客轉(zhuǎn)移戰(zhàn)術(shù)。鑒于網(wǎng)絡(luò)黑客是非常積極和靈活的，多因素身份驗證控制被破解之前只是時間問題。備受推崇的安全專家Bruce Schneier指出“攻擊者會使用攻擊實時交易的工具獲取多因素身份驗系統(tǒng)信息：中間人攻擊和木馬攻擊會對客戶端進(jìn)行攻擊。”Schneier是對的，因為瀏覽器中間人攻擊(MitB)最終浮出水面。這個惡意病毒寄托在用戶和網(wǎng)站之間的網(wǎng)絡(luò)瀏覽器并被植入其中。它能夠改變用戶所看到的信息和改變系統(tǒng)中真實的信息。

跨越密碼

密碼不再是一個有效的安全控制；事實上，它們具有主要責(zé)任。我們正處于一個轉(zhuǎn)折點，這個轉(zhuǎn)折點是我們?nèi)绾蚊鎸Π踩珣?zhàn)線發(fā)生巨大的戰(zhàn)略轉(zhuǎn)變。與其對于用戶身份驗證感到絕望，為什么不集中精力努力識別每個用戶的行為？信用卡行業(yè)在安全模式上的大量投資獲得了巨大地成功。他們意識到持卡人（或使用者）相關(guān)的賬戶是最不適合降低風(fēng)險的。通過對行為欺詐監(jiān)測系統(tǒng)的大量投資，信用卡公司集中為每個用戶的預(yù)期行為設(shè)立了一個基準(zhǔn)。一個超出特征范圍的特定用戶交易將被阻止或接受檢查。這個欺詐監(jiān)測系統(tǒng)可以應(yīng)用到任何企業(yè)環(huán)境。每個員工都會在一個進(jìn)行定期的完成指定和預(yù)期安排的任務(wù)。一些違規(guī)行為，例如向陌生電子郵箱地址發(fā)送公司的客戶數(shù)據(jù)，或隱藏有知識產(chǎn)權(quán)的數(shù)據(jù)通過加密頻道發(fā)送到烏克蘭的服務(wù)器上。這將會作為可疑行為被標(biāo)記，因此，類似情況能夠被阻止和調(diào)查。

密碼仍然是行之有效的，但是是開始關(guān)注預(yù)期行為和建立相應(yīng)的用戶基線的時候了，因此，我們可以減少對過時的安全措施的依賴。加大對數(shù)據(jù)泄露防護(hù)工具方面的投入，這樣會推進(jìn)下一代公司欺詐行為技術(shù)的進(jìn)步。戰(zhàn)術(shù)的改變（例如多因素身份驗證）在面對網(wǎng)絡(luò)黑客（他們已經(jīng)表現(xiàn)出非常善于改變戰(zhàn)術(shù)）時不會總是能夠成功。一個重大的戰(zhàn)略需要做出改變，將給防御者帶來力量平衡的轉(zhuǎn)變。這不是一個簡單的改變；超過20年的習(xí)慣和規(guī)范制度需要去打破。事實上，

密碼已經(jīng)確立成了安全標(biāo)準(zhǔn)，在安全行業(yè)中，這種標(biāo)準(zhǔn)將發(fā)生重大的文化變革，整個世界會成功完成這一壯舉。毫無疑問，這會花費大量時間和精力。如何做出選擇呢？就像貓和老鼠游戲一樣永遠(yuǎn)不會停止。