密码的未来：网络安全领域的新机遇

关键要点

在最近的Identiverse会议上，网络安全资深专家吉姆·拉斯（JimRouth）提到，随着现代技术的不断进步，网络安全行业或许终于能够真正摆脱密码的束缚。根据他在会议上的讲话，当今个人在访问账户时所使用的密码数量已达到不可承受的程度，导致了许多不安全的行为，现在是采取行动的时候了。

拉斯指出：“我们使用的密码无处不在，涵盖了各类数字资产。密码的过时性日益显著，并且这种增长每天都在发生。”他呼吁网络安全从业者必须改变身份验证的方式，而这实际上应该成为我们的使命，朝着低摩擦和高安全性的方向发展，而这在今天是完全可行的。

“我们有选择来实现这一目标，确保在这种经济环境中仍能自给自足，”拉斯说道。他鼓励安全专业人士积极参与进来，并指出现在有许多选择和机会，其中无密码技术的崛起就是一个很好的例子，包括生物识别、魔法链接和基于硬件的身份验证。

拉斯还提到：“密码在企业中使用了60年之久，但当你的数字资产数量达到200个时，管理这些密码就变得困难重重。”幸运的是，现有技术能够消除摩擦，提升消费者的数字体验，避免账户被接管。这种转变不仅有助于安全性，还能降低运营成本，这在当前经济环境下尤为重要。

关于运营成本的节省，强调这些财务利益是一种获得高层支持未来身份管理实施的有效途径。

“通过采用无密码选项，你不仅可以降低运营成本，还有可能获得收益和市场份额，而如今你有很多选择，”
拉斯强调道。“在当前经济条件下，没有比这更合适的时机了。”

对于可靠且安全的身份体验的理念，引起了另一位与会人员、Riot Games安全负责人尼科尔·多夫（NicoleDove）的赞同。“作为安全领导者，我不仅在考虑玩家体验，同时也在关注用户体验，”多夫表示。“这标志着我们行业亟需转变的一个重要方面……我喜欢这个想法，即增强安全性并不意味着增加摩擦。”

然而，会议中的一些小组成员对于密码是否会在短期内被淘汰并不完全一致。

“我其实还蛮喜欢密码的，”雅虎CISO肖恩·扎迪（SeanZadig）坦承道。“我认为从长远来看它会逐渐消失，但现在我们的用户仍然期待使用密码。我们曾尝试过取消密码，但遭遇了用户明显的抵制，所以密码在一段时间内还会继续存在。”

不过，这对雅虎来说是个问题：“攻击者非常专注于获取密码，”扎迪补充道。

因此，如果密码还将继续存在，至少必须有提升其安全性的办法。他建议道：“那么我们如何能够充分利用现有的能力呢？我们可以将其与多因素身份验证结合起来。”另外，组织也可以为某些高风险操作增加更多的验证层级，以创建“身份验证和授权的滑动连续体”。

但是，拉斯坚定地认为，最终企业将需要。

“肖恩可能是对的，密码会在一段时间内继续存在。但我认为，当攻击者比最终用户更加享有对密码的控制时，也许是时候改变这种状况了。”