欢迎 「登陆」 「注册」   English
业务专线:400-6030-161

新闻详情

指纹识别:安全管理
2011-11-10 09:34:17

亚略特研究院:指纹识别突破安全管理瓶颈

摘要:

亚略特研究院研究结果显示,抛开技术本身,指纹识别的根本优势在于,它确保每一次的身份认证被严格执行,它使安全防护水平不再受制于用户的行为或自制力,它解决的其实一个安全管理问题。

数字资产安全是企业普遍面对的焦点问题,来自网络内部或外部的威胁从来消停,而在信息安全领域中,密码危机又显得尤为突出。与此同时,对多数组织而言,花费在解决密码安全机制上的投入和精力,又在成为一项新的负担。

亚略特研究院研究显示,多数组织花费解决密码安全问题上的投入,并没有为组织带来更高的安全性,这其中的根本原因在于,密码通常只在正确使用的前提下才能发挥作用,然而密码是否被正确使用,并不由组织决定,而由终端用户本人决定,正是密码使用的随意性,松散而难以管理,导致了密码被盗、共用、或者黑客截取等多种问题。

因此,亚略特建议您“从全新的角度来看待密码问题,每投入一项新的安全技术,不仅要考虑技术本身的细节,还应从管理角度,考虑执行上的难易,以及整体ROL投资回报率”。 以下的部分,我们将重点阐述几个问题:

  • 传统密码存在的风险和管理成本。
  • 常见几种安全认证技术的优缺点分析,如SSO、token、智能卡等。
  • 指纹识别方案投资回报率。
  • 密码是网络安全中的最大隐患。

许多安全专家早就告诫我们,从认识系统中的弱点做起,然后想办法弥补它们来减轻威胁,对许多公司来说,密码就是安全架构中最显而易见的弱点。据CERT组织调查,80%安全攻击都与密码有关,而据Gartner调查,40%的桌面求援是源于密码忘记,为了维系密码安全,平均每个公司每年要为每个用户花费$200-$300。

对于密码机制深层次的弱点,亚略特研究院发现:

  • 受制于先天的惰性,人们从来不会主动遵守高强度的管理政策,在这一点上,人是不能够完全信赖的。
  • 微妙的人际关系,在许多共用密码的案例中,50%的受访者承认,他们也不愿意把密码告诉别人,常常是紧急情况,或者情面所至。
  • 这是个效率为先的时代,以影响工作、紧急事故常常成为忽略密码安全的借口。
  • 一定会存在别有用心的害群之马。通过借用柜员卡盗走资金的案件在金融界屡有发生,这是因为从表面上,无法判断出某个人会在什么时候,什么情况下,因为某个机会,做出威胁系统安全的事。

针对密码存在的风险,许多组织会提供密码使用指南或者密码常识培训,但是人性的弱点始终未得到根治。

  • 容易的密码:用户倾向于用他们熟悉的信息来设置他们能够容易记住的密码,这样也使得hacker也容易猜到,简单的密码破解程序可以很快地猜出完整的密码。
  • 多个系统用同个密码:为了避免记忆麻烦,人们会用同样的密码来关联多个系统,甚至包括某些公开输入密码的网页或窗口,只要窃取一次,后门就会同时打开许多个。
  • 容易获取的密码:这是指在使用长密码的时候,人们会因为它难以记忆,而把他们写下来,高强度的密码也导致更多的桌面求援,并且影响员工的工作效率,如果为了保障安全而降低了使得,就会导致它无法执行。
  • 好心人常常容易受骗:密码是社会工程攻击(Social Engineering Attack)的典型案例,社会工程学指利用人的弱点,以顺从你的意愿、满足你的欲望的方式,让你上当的一门社会艺术。,根据PentaSafe公司的调查结果,4/5的员工会将自己的密码共享给同事,尽管有时他们也不情愿。”

使情况更糟糕的事,攻击者只需要找到安全系数最低的那个密码就可以,这样一个密码的泄露,已经有可能会危及整个系统的安全,但是事实上,亚略特研究院给出的结论是:“企业的信息安全等级不是由守规矩、负责任的那些用户决定,而恰恰受制于那些不守规矩、怠慢、懒散的用户。”

组织为密码管理付出的高额成本

下面再来看看为了维系密码安全,企业付出的高额成本。

密码成为一种负担

根据2002年NTA Monitor Password Survey调查显示,一个频繁的IT用户平均拥有21个密码,在他们通常使用的两种管理方法中,无论哪一种都不够安全,一种是使用好记的密码,另一种则是把它们写下来。

调查还发现,单个用户最多时拥有密码超过70个,而有84%的计算机用户强调“方便记忆”是密码设置最重要的属性,最后有81%的人都选择了一个平庸好记的密码。

员工生产力和支持成本

对于那些负责任的用户,通常他们会通过设置高强度密码,并且妥善保密,不幸的是,尽责的用户无可避免的会忘记密码,然后产生桌面求援,而且随着用户被许可的帐户越多,他们管理密码的压力也越来越大。

据调查显示,25-50%的桌面求援来自密码重设,该类事故平均每一件耗费的资源在$20-38,实际上更糟糕的是,许多案例中,实际的密码重设造成的损失,会超过桌面支援的成本:

用户生产力、效率下降:当员工无法登陆到系统并且产生求援时,相应则引起停工和生产力下降,例如在一个呼叫中心环境中,这会直接导致电话量减少,部分客户未得到服务。

危机反应时间:在像医院这样的组织中,患者记录应该被快速的调阅,如果这个时候发生密码问题,将直接危及患者的治疗判断,甚至危及生命。

返回 >>
无标题文档