该报告显示,在接受调查的400名IT管理员中,有55%的人使用相同的密码登录工作账户和个人账户,违反了不准复用密码的规定;10%的人则使用极易被破解的弱口令,比如password(密码)、qwerty(主键盘区左上角前6个字母)、abcd、1234、家人姓名、宠物名字、最喜欢的明星姓名,等等。
该报告称:“内部员工仍然是公司数据泄漏的头号原因。”为了提高安全性,IT管理员本身就必须采用安全性高的密码,但是他们需要同时管理多个系统,如果每一个系统都用不同的复杂密码进行登录,无疑极大增加了记忆负担。因此,为方便起见,复用密码和用弱口令的IT管理员也就不在少数。
按理来说,如果账户被黑就应立刻修改密码。但这份调查报告称,仅有55%的用户会在账户被黑之后修改密码,其余45%的人对此无动于衷。
随着信息技术的不断发展,黑客破解账户密码的手段也层出不穷,包含但不限于暴力破解、撞库、钓鱼邮件、木马病毒、SQL注入,等等。当然,弱口令和密码复用并不安全,不过,哪怕把密码设置得再复杂,也是治标不治本,黑客或其他恶意人员总有办法攻破“用户名+密码”的账号保护屏障。再加上“用户名+密码”保证的是账户与密码的匹配度,无法区别到人的唯一性,黑客在窃取密码之后就能顺利登陆并窃取信息。
因此,LastPass的调查报告称,90%的受访者都认为不管密码强度如何,账户都会面临被黑客攻破的风险。
近些年来,有很多业内公司都在致力于消灭密码,指纹识别、人脸识别等技术也大行其道。但是由于成本、安全性和使用习惯等问题,生物识别一般还是作为账户密码之外的辅助认证方式。
锦佰安科技认为,随着人工智能、大数据的日益火爆,未来的身份认证技术,必定是AI、大数据和多种识别方式的结合,以更好地兼顾便捷性和安全性。
基于这一理念,锦佰安科技自主研发出了国内首个AI行为识别身份认证系统——SecID,能够通过传感器多维度、多规则地收集用户日常登录系统的操作行为和使用习惯,然后基于卷积神经网络和循环神经网络等技术剔除干扰和噪声,持续深度学习其行为特征,建立识别模型并与用户本人进行相似度匹配,即可对用户身份进行确认。通过这些核心技术,SecID不仅能有效分辨当前操作者是人还是机器,而且还能精确辨别操作人是否为用户本人。
在应用SecID的情况下,输入行为本身就是身份验证过程,也就是说,整个过程是在用户无感知状态下完成的,用户也就完全无需改变操作习惯。
由于每个人的行为特征都是独一无二的,在使用SecID时,即使用户名和密码被黑客窃取,后者也无法登录账户,企业员工的账户安全也就得到了极大提升。可以说,密码是什么已经不再重要,重要的是每个员工独特、不可复制的操作行为本身。
结语
静态密码因其安全等级低,很大程度上降低了黑客的攻击难度,使黑客可以轻松访问企业数据。在AI时代,敢于跳出窠臼,积极拥抱新技术,采用全新的便捷、安全的身份认证方式,才是企业信息安全应该要走的康庄大道。