跟密码说再见

源济

密

码存在这样一个根本问题：只有在设置得长、构成复杂并频繁更换的情况下，才能最有效地保护一个企业。换句话说，员工在这个时候也最不可能记得住密码。

John Chuang

加州大学伯克利分校教授John Chuang头戴可读取“意念密码”的耳机设备。

结果，科技企业开始竞相提供既更加安全又更方便的解决方案。现在很多笔记本电脑在出厂时都安装有内置的指纹识别器。智能手机和其它设备也在开发脸部和声音识别等生物识别器件。

去年收购了指纹传感器技术开发企业奥森科技公司(AuthenTec Inc.)的苹果(Apple Inc.)新推出的iPhone 5S配有指纹传感器。微软公司(Microsoft Corp.)说它下个月即将推出的Windows 8.1操作系统“针对基于指纹的生物识别技术进行了优化”。该公司称，生物特征识别技术将在这个系统里得到更广泛的应用。

谷歌(Google)也在试验一种新的硬件令牌，该令牌由总部设在加利福尼亚州帕洛阿尔托(Palo Alto)的Yubico公司制造。就像企业已经使用多年的能够随机生成数字密码的传统硬件令牌一样，Yubico公司的这件设备可以生成临时密码，作为第二个身份识别方式之用。

不过员工无须从令牌上读取密码然后重新输入，他们只要把令牌插入一个USB端口，或者在一台使用了近场通讯技术的移动设备上触按密码就行了，通过这种技术，电子设备利用物理接触就可以实现通信。

谷歌今年正在员工当中测试这种令牌，并计划于明年向消费者推出，将其作为更加安全地登录Gmail和其它谷歌账户的手段。

谷歌的一名安全工程主管马扬克·阿帕德海耶(Mayank Upadhyay)说这种令牌用起来很容易上手，加密程度很高。

他说：“我们相信，利用这种令牌，我们提升了员工的安全标准，安全性超过了市面上能够买到的那些东西。”他还补充，这种令牌可以用于谷歌的网页浏览器Chrome，“在谷歌公司员工的日常工作流程中使用起来也是得心应手”。

风险评分与生物识别技术

另一种新的选择是出自RSA的基于风险的身份验证技术。RSA是易安信公司(EMC Corp.)的安全部门，也是广泛使用的硬件令牌SecurID的始创者。

这种技术会对来自一家公司内各种群体的大量用户数据进行筛查，以确立“正常”行为，然后对每个用户进行风险评分。如果一名雇员做的事情有违常态，比如在一个新的地点登录、使用了别的电脑或者试图访问一个他或她平常不访问的系统，风险评分就会增加，雇员可能会被要求提供额外的身份验证，比如通过电话验证他或她的身份。

很多人期望安全局面能够迅速改变，因为越来越多员工把他们自己的智能手机和其它设备带到工作场合来。虽然个人设备的扩散经常被视为对安全的威胁，但是一些分析家认为，让移动设备更容易使用生物识别技术，这样它们就可以提高安全性。大多数移动设备的突出特征就是有麦克风和摄像头，还可以精确定位员工所在的位置。

Yubico Inc.

Yubico的随机密码令牌可以插入一个USB端口或直接在屏幕上触按。

美国康涅狄格州斯坦福德市(Stamford, Conn.)高德纳公司(Gartner Inc.)负责研究的副总裁安特·艾伦(Ant Allan)说：“我们认为生物识别技术将会更加大受欢迎，这件事的推动者和促成者就是移动计算技术。”。

他解释说，对于大企业而言，为每一名员工安装新硬件成本非常高昂，因此一个可以利用普遍拥有的个人设备的系统就具备明显的经济优势。此外，携带移动设备的员工很可能会发现指纹识别器用起来比记住并输入密码要容易得多。

其它研发开创性安全工具的企业包括马德里的Agnitio SL公司，它制作执法机关使用的声音识别软件。该公司开发的一个系统允许员工以讲一个简单短语的方式登录。

与此同时，总部位于伦敦的PixelPin Ltd.公司意图用图片替代密码。比如，选择你配偶的一张照片，按照你记住的顺序点击她面部的四个部位就可以登录。该公司的共同创办人杰夫·安德森(Geoff Anderson)说，人们记住照片比记住文本密码要容易，别人复制起来也更难。

使用意念

展望未来，加州大学伯克利分校(University of California, Berkeley)的研究人员正在研究使用脑电波作为身份验证手段的技术。研究中的测试对象头戴仪器，当他们想象自己在完成一项具体任务的时候，仪器计量了他们的脑电波信号，而且研究人员能够把不同的人区分出来，精确度达99%。从理论上讲，类似这样的想象任务可以成为员工的“意念密码(passthought)”。

多数专家预计企业会使用各种不同的手段。例如，美国纽约州萨拉托加矿泉城(Saratoga Springs, N.Y.)的萨拉托加医院(Saratoga Hospital)使用了指纹识别器作为替代密码的更安全的措施，可是虽然他们解决了医院的很多安全问题，指纹识别器并不是对每个人都有效。这家医院的安全分析师加里·穆恩(Gary Moon)说，几位上了年纪的义工需要很费劲才能让他们的手保持不动，而且当人们戴着手套时，或者他们的手太干时，指纹识别器就无法工作。一些员工也拒绝提交他们的指纹。

结果，穆恩说，医院仍然将密码作为备用的安全系统。

加利福尼亚州雷德伍德城(Redwood City, Calif.) DigitalPersona Inc.公司（该公司为萨拉托加医院提供指纹识别器）的创办人万斯·比约恩(Vance Bjorn)说：“在身份验证方面实在没有一劳永逸的办法。”比约恩说，企业需要综合使用不同的技术。

“一种技术可以解决某些问题，但是综合安全、便利、成本和部署的容易性考虑，它并不会是适合每个人的最佳选择。”

ANDREW BLACKMAN