密碼的逆襲!NIST 新指南擁抱常識,為何密碼仍是最佳安全防護?
– 在資訊安全領域,密碼長期以來被視為過時的安全機制,甚至被認為是安全漏洞的代名詞。然而,美國國家標準與技術研究院 (NIST) 最新發布的《SP 800-63-4 數位身份指南》卻反其道而行之,擁抱密碼安全,其建議被譽為期待已久的常識,也狠狠打了那些「憑空想像的 IT 霸凌者」一巴掌。
NIST 新指南:資訊安全,使用者說了算!
NIST 的新指南主張將密碼選擇權交還給使用者,讓使用者為自己的密碼安全負責。這項建議看似簡單,卻是對過去數十年來,那些「無名無姓的 IT 霸凌者」所制定的繁瑣、武斷的密碼政策的徹底否定。
NIST 終於意識到,許多安全措施弊大於利,反而危害了使用者。這些「霸凌者」往往只是判斷錯誤的管理員,他們試圖盡力保護系統安全,卻因為驗證機制的複雜性和反直覺性,而導致弄巧成拙。更糟糕的是,鋪天蓋地的錯誤資訊,如網路安全神話、行銷話術、遊說活動等,進一步加劇了安全問題的惡性循環。NIST 的新指南正是要撥亂反正,破除迷思,將密碼安全的主導權交還給使用者。
為什麼密碼仍然重要?
然而,過去四十年來,我們一直錯誤地使用密碼,加上「安全產業」的大力推銷,導致各種華而不實的驗證方式充斥市場。讓我們回歸驗證的本質,探討三種主要的驗證方式:
從攻擊者的角度來看,這三種驗證方式的安全性遞減:
「你所擁有的」:所有權的迷思
在世界經濟論壇宣揚「你將一無所有,但你會很快樂」的今天,智慧型手機的「所有者」對設備內部發生的事情幾乎沒有控制權,甚至一無所知。這些設備可能預設就存在安全漏洞,或被製造商植入監控軟體,你的「所有權」形同虛設。
攻擊者可以利用旁路攻擊、光學攻擊、電磁攻擊等手段,竊取設備中的資訊,甚至操控設備本身。因此,複雜的設備並不比簡單的工具更安全,反而更容易被攻擊。它們暴露了更大的攻擊面,將安全隱患隱藏在複雜性之中,並給人一種虛假的安全感,導致過度自信。
「你所是的」:生物辨識的隱憂
你的指紋、臉部、虹膜等生物特徵皆可被輕易獲取,且無法更改,一旦被盜用,後果不堪設想。生物辨識更像是追蹤個人而非驗證身份。將所有交易都與特定個人綁定,會助長極權主義,侵蝕民主。生物辨識安全產業的
相關連結:
National Institute of Standards and Technology
Share this content:
