对于网络银行来说 现在是写下密码的时间了

ZDNet安全频道原创翻译 转载请以文字链形式注明出处

作者：利亚姆·董

美国电话电报公司计算研究中心的威廉·查斯威克提供的研究报告显示，银行应该立即停止强迫客户创造包含字母数字在内的冗长的密码，因为它们并不能保证真正的安全。

在本周黄金海岸举行的AusCERT二○○八会议上，查斯威克告诉代表们，应该停止利用老式的密码规范对工作人员和消费者进行管理。

查斯威克认为，密码需要至少为七个字符长，但不能超过十五个，需要区分大小写，并且至少需要有一个数字，但不能有空格，这种规范就是“晦涩难懂的密码法西斯主义”。

他说：“这些规范导致人们为了完成自己的工作，不得不把自己的密码写下来。”

“要求人们创建和记住一个电脑无法在合理的时间里猜测出来的密码。对于技术人员来说，这是一种悲哀。”

在告诉ZDNet澳大利亚他的观点后，查斯威克说：“最大的问题是，我们要求非常强大的密码，但这些强大的密码并没有得到安全的保护。”

目前强制执行的很多密码规范都是来源于二十世纪八十年代的所谓联邦信息处理标准（FIPS）112——美国的密码使用标准。

“在当时的威胁情况下制定的标准并不适合今天的实际情况。”他告诉ZDNet澳大利亚。“那时没有互联网，也没有盗窃数据的俄罗斯间谍，以及各种各样的攻击。”他补充说。

因此， 查斯威克认为银行应放宽客户密码的规范，因为他们通常要记住几个密码来管理其日常事务——为了方便起见，经常是多个系统使用相同的密码。

“对于银行来说，他们可以简化规范。为什么可以简化呢？因为并不需要一个强大的密码。为什么不需要一个强大的密码？因为只要做一点点猜测就可以了。”他说。

通常情况下，在输入三次不正确的密码后自动柜员机就会拒绝卡的使用，而在线银行帐户，也采用了类似的规定。但是， 查斯威克说，键盘记录密码窃取工具的出现产生了新的问题，电脑上的恶意软件成为新兴的更大的威胁。

查斯威克建议澳大利亚的银行采用双因素认证技术。

“你应该使用双因素认证技术，这里包含了你了解的项目。第三个因素通常是生物识别技术，这是确定的，但我不是它的支持者。 ”他说。

对于人们记录密码的烦恼，查斯威克的建议是多个账户使用相同的密码，并记录下来。但是，应该根据安全的实际水平对帐户进行分级。

“有的密码我并不在意。你登陆纽约时报，需要有一个密码。如果这个密码被盗，我并不在意。我对所有的帐户采用相同的密码，其中包括了重要的Amazon.com帐户。如果你获得了它，就可以进入银行帐户。但这并不意味着世界末日，你只会有三四次机会来获得一个帐户。”他说。