作者:王飞
微软一位安全专家建议各公司不要禁止雇员记录自己的密码,因为这会迫使人们去使用各种脆弱和不安全的系统来记录密码。
澳大利亚国家计算机紧急事务快速反应小组(AusCERT)日前召开了一次新闻发布会,
在新闻发布会的第一天,微软公司的Jesper Johansson就声明安全系统给用户们发出不要写下自己的密码的建议是错误的。Johansson是微软公司高级程序管理员,负责计算机安全政策事务。
Johansson问:“强制规定用户禁止记录密码,安全政策中有多少条关于密码安全的条款会这样说?”大多数参加新闻发布会的人都举手表示支持他的意见。“我认为这完全是错误的。我认为密码安全政策应该要求用户写下密码。我本人有68个不同的密码。如果不让我把它们写下来,你们猜我会怎么做?我会把它们都换成同一个密码。”
Johansson认为,使用同一个密码的做法将降低整体安全性。
“由于并非所有的系统都有规律的密码,我只好用一个毫无意义的蹩脚的字符串做密码,一直使用下去再不更改。”Johansson 说。“如果我将这68个密码写下来并保护好记录密码的纸片或是别的什么东西,那就没什么问题了。”“这样,我们就可以记住更多的密码以及好点的密码。”
Johansson认为,20年来,安全部门在密码问题上一直在提供错误的建议。
新闻发布会代表们认为Johansson的建议很有意义。但是许多人认为这个建议没什么实用性。
一位不愿透露姓名的某跨国公司的IT管理人员称,他所在的公司有一项严格规定,禁止员工写下密码。他还说,他把他个人的密码保存在一个加密文件中,因为这样就不会记错密码了。
另一位也不愿透露姓名的政府部门代表称,将密码保存在加密文件中的做法也许对管理人员有用,但是对许多用户来说用处不大,因为他们会很快忘记这个加密文件的解密密码。
这名代表称即使是使用双因素鉴定的技术也不安全,RSA 信用卡(token卡)就采用了这种技术,结果人们在使用RSA信用卡的过程中常常将识别码写在一张纸上,然后将纸贴在RSA信用卡的背面。
这名代表说:“我知道有一个政府高官就是那样做的。”
版权所有 新浪网