Dropbox侵入是對(duì)傳統(tǒng)認(rèn)證方法的末日快要的最新提醒。聚光燈下：Dropbox從一個(gè)新的偏向進(jìn)入云。

四年可以產(chǎn)生許多事。一名總統(tǒng)可以處事滿他/她的任期；一項(xiàng)全新的技能可以表現(xiàn)；一個(gè)發(fā)型可以回到某個(gè)造型，；可能在Dropbox侵入的案例里，你的暗碼可以在暗網(wǎng)上暢通。

本月初，我們發(fā)明6800萬用戶的email地點(diǎn)和暗碼受到2012年產(chǎn)生的黑客事件的連累，比當(dāng)初報(bào)道的環(huán)境越發(fā)的糟糕。證書開始在網(wǎng)上泄露。

“該黑客事件有趣的處所是，它凸顯出被偷的證書可以在暗網(wǎng)暗藏多久，然后抬起它們丑惡的頭進(jìn)入將來，經(jīng)常照舊有效的，” Stephen Cox說。他是認(rèn)證平臺(tái)SecureAuth的首席安詳架構(gòu)師。

Dropbox申明大大都暗碼是用強(qiáng)暗碼加密的，可是其余則不是。云存儲(chǔ)公司上周發(fā)送通知給那些曾在2012年后悔改暗碼的用戶。

起初的Dropbox侵入是由于Dropbox員工在他的LinkedIn和企業(yè)Dropbox賬戶利用溝通的暗碼。LinkedIn被攻破，也在2012年，泄露了暗碼，directadmin下載 美國(guó)虛擬主機(jī)，使黑客能進(jìn)入Dropbox的網(wǎng)絡(luò)并通過加密的暗碼會(huì)見了數(shù)據(jù)庫(kù)。該事件激發(fā)各人對(duì)傳統(tǒng)暗碼安詳方法和企業(yè)安詳文化的質(zhì)疑。

安詳專家說暗碼反復(fù)利用，不幸的是，在我們中間很普遍，這是“生物的習(xí)慣”。披露：我對(duì)此感想慚愧

“思量到選擇，人們凡是會(huì)選擇簡(jiǎn)樸的暗碼，因?yàn)樗鼈儽阌谟跋螅?rdquo; Gartner 安詳和風(fēng)險(xiǎn)打點(diǎn)計(jì)策研究室主任Michael Isbitski說。“尤其思量到我們天天利用的應(yīng)用的數(shù)量，所有都要求單獨(dú)的登錄。”

Dropbox侵入的影響廣泛6800萬用戶，它激發(fā)對(duì)人們傳統(tǒng)認(rèn)證的疑問。

利用認(rèn)證證書來會(huì)見賬戶——又名賬戶經(jīng)受，已經(jīng)釀成黑客中間風(fēng)行的計(jì)策，軟件公司Tripwire的高級(jí)安詳研究工程師 Travis Smith說道。自從利用了認(rèn)證證書的方法，黑客冒的風(fēng)險(xiǎn)更小，因?yàn)榕c其他裂痕操作的方法對(duì)比，認(rèn)證證書更有大概不被安詳東西監(jiān)測(cè)到。

單一暗碼最后的精品

CIO和IT執(zhí)行官們能做什么事，來防御賬戶經(jīng)受和暗碼被黑？確保員工毫不利用同一暗碼高出一次，選擇巨大暗碼并常常改換暗碼只是一個(gè)初步，Nathan Wenzler說。他是獨(dú)立安詳咨詢公司AsTech Consulting的首席安詳架構(gòu)師。按照VASCO Data Security 企業(yè)通訊的副總John Gunn的說法，暗碼打點(diǎn)員也是一個(gè)好東西，可是當(dāng)先容附加風(fēng)險(xiǎn)時(shí)，他們大概提供安詳?shù)腻e(cuò)覺，

我攀談過的安詳專家們的一致意見，包羅Gunn是傳統(tǒng)的單一暗碼安詳法子不能簡(jiǎn)樸的阻止被黑；IT執(zhí)行官需要記條記。

“該Dropbox事件加強(qiáng)了暗碼危險(xiǎn)無時(shí)不在的事實(shí)，” Gunn說。“輔導(dǎo)員工頻繁改換暗碼可能利用奇特暗碼并不會(huì)淘汰有30年汗青、過期的安詳技能的固有弱點(diǎn)。”

Gartner的Isbitski留意到，大局限暗碼泄露僅僅有助于進(jìn)一步促進(jìn)增長(zhǎng)迅速的暗碼安詳技能的回收，多因素認(rèn)證。

“既然很多用戶如今都擁有吸收SMS短信的智妙手機(jī)，多因素認(rèn)證是一個(gè)增加附加有效的安詳層的劃算的要領(lǐng)，”他說。

自從2012年產(chǎn)生的Dropbox被黑事件，公司已經(jīng)實(shí)施了所有內(nèi)部系統(tǒng)強(qiáng)制的多因素認(rèn)證，做安詳專家承認(rèn)的工作，也是朝正確偏向邁進(jìn)了一步。

“雙因素認(rèn)證應(yīng)該是強(qiáng)制的，也是選擇解除選項(xiàng)，因此用戶本身必需抉擇不利用它，” Joseph Carson說。他是位于華盛頓的非凡賬戶打點(diǎn)方案的供給商Thycotic的全球計(jì)謀同盟的主管。

Gunn 說，Biometrics（生物統(tǒng)計(jì)學(xué)）是一種新興的多因素認(rèn)證形式，它使驗(yàn)證時(shí)用戶能更少繁瑣，比以前更安詳。可是，Isbitski是沒有被確證，生物統(tǒng)計(jì)學(xué)認(rèn)證已經(jīng)籌備登上主要企業(yè)的舞臺(tái)。

“由于對(duì)硬件的要求，基于Biometrics的認(rèn)證系統(tǒng)難以大局限陳設(shè)。因?yàn)榧寄芟拗疲鼰o法被遍及回收，可能被認(rèn)為太具侵略性而遭遇用戶抵抗。”他說。

當(dāng)安詳專家繼承推向衍變暗碼，并測(cè)試biometrics認(rèn)證的有效性時(shí)，黑客則一連挖掘現(xiàn)存的裂痕。這是為什么呈現(xiàn)更多的認(rèn)證選擇，供IT執(zhí)行官摸索個(gè)中較好的選擇。基于云的身份和會(huì)見打點(diǎn)供給商Bitium的CISO Conrad Smith說道。

“跟著網(wǎng)絡(luò)犯法的多樣性和數(shù)據(jù)泄露的損失一連上升，風(fēng)險(xiǎn)太大以至于無法多樣化你的安詳計(jì)策，”他說。

暗碼安詳受訓(xùn)

人類錯(cuò)誤比任何其他外部威脅都大，跨國(guó)數(shù)據(jù)損失防范軟件公司的CEO Roman Foeckl說。借力當(dāng)前的暗碼安詳技能和流程對(duì)付輔佐淘汰人類錯(cuò)誤長(zhǎng)短常重要的，可是問題越陷越深。

我攀談過的安詳專家一致認(rèn)為，教誨員工和打點(diǎn)層是淘汰安詳變亂和引發(fā)以企業(yè)處理懲罰暗碼安詳?shù)姆椒ㄅe辦文化移入的要害。