密码属于安全中的最薄弱环节

ZDNET安全频道 05月13日编译： 在现代安全体系中，密码占据了最为重要的位置。毕竟，用户的个人身份、私人信息以及金融资源都是靠它来保护的。然而，现在的问题是，密码确实能够起到保护作用么?

最近，Ponemon Institute就发布了一份研究报告。这份由身份验证供应商NokNok实验室赞助的报告显示出当前密码使用状态的冰山一角——现实情况就是，它们明显处于使用不当的状态。在调查过程中，研究人员一共采访了位于美国、英国以及德国的1900名用户。

去死吧，密码

这项调查显示，由于无法完成某种形式的密码身份验证措施，接近一半的受访者遭遇过不能继续进行网上交易的尴尬局面。而在这其中，绝大部分问题都是由于用户忘记了自己的密码所造成的。

从宏观角度来看，广大消费者对于密码也普遍抱有不信任的态度。按照报告作者拉里·波耐蒙告诉电子安全星球(eSecurity Planet)的数据：有高达46%的受访者声称，自己绝对不会信任仅仅依靠密码来确保安全的网站。

Ponemon认为：“我们觉得当前存在这样一种趋势，尽管用户是确实在使用相关网站，但却并不一定会产生信任”。

对于很多网站来说，通常会采用的最佳安全措施就是强制使用复杂密码。但现实情况却证明，这种所谓的最佳做法并不一定能够获得消费者的认可。Ponemon声称：有69%的消费者承认，他们之所以会忘记自己的密码，就是因为它太长或者太复杂了。

为了帮助用户解决遗忘密码的问题，很多网站都选择提供密码重置功能。然而，它们在实际中的使用效果显然并没有想象的那么好。

Ponemon指出：“有54%受访者表示，由于重置密码操作耗费的时间极为漫长，因此他们基本上都选择了直接放弃”。他还进一步补充说：“如果从商业角度认真思考一下，大量客户因为没有足够耐心等待下去而流失，究竟会意味着什么呢?”

现有身份验证措施的替代选择

按照本次调查赞助者Nok　Nok实验室首席执行官菲尔·邓克尔伯格的观点，这份报告显示出广大消费者正急需其它形式身份验证措施的趋势。

实际上，Nok　Nok实验室就属于极速网络身份(FIDO)联盟的成员。而该联盟目前的主要工作就是，尽力普及可支持在线服务访问的生物识别读卡器之类强认证设备。

在调查中，研究人员还发现，广大消费者确实存在有使用强身份验证机制的迫切愿望。实际上，高达69%的受访者就声称自己愿意选择眼部扫描类生物验证措施来当作身份验证机制。而按照邓克尔伯格的观点，目前强身份验证措施之所以无法马上投入使用，是因为从商业角度来看在易用性方面还存在限制。

邓克尔伯格认为：“如果广大消费者要求获得更安全的强身份验证措施，企业就有责任给出相应选择来。”