用户呼吁更强大的密码解决方案

　　过去我们曾经探讨过现代络中的用户名和用户密码技术，如何对他们进行管理。笔者的建议是从局外人的角度去管理这项技术。

　　问题是用户只能记住非常简单的密码。用户要想记住强度大的密码经常会把密码写在便签纸上，然后粘贴在计算机或者显示器上。如果你必须使用密码，为什么不让用户使用他们记不住的密码呢？为什么不去求助One Time Passwords（简称OTP，一次性密码）呢？

　　当笔者和用户探讨一次性密码机制时，他们的第一反应总会想到类似RSA的SecureID key fob这样的设备。毕竟长期以来key fob被认为是传统的一次性密码设备。如今是时候向前迈进一步了。接下来我们来介绍另外两种实现一次性密码的方法。

　　两周前笔者在RSA大会上和来自Nordic Edge的安全人员讨论了这个话题。他们打算使用移动来演示他们的一次性密码解决方案。这种想法是用户使用用户名/密码技术登录，然后一次性密码服务器将SMD信息发送到他们的移动。用户只需键入短信箱中收到的PIN密码就能实现访问。其他人之前也使用过这种外带一次性密码，但是Nordic Edge公司的安全人员增加了一个新的设计。某些大客户（比如政府，教育机构和卫生保健部门）表示发送短信息是不错的想法，但是价格太贵。因此Nordic Edge公司研发了移动应用软件（目前已经在iPhone上使用，很快Android和采用Java编码的也会采用）能像SecureID那样工作--按一下键就能产生一个一次性密码。应用软件本身的密码受到其他安全措施的保护。多数企业用户已经用了必须的硬件设备。

　　第二种一次性密码解决方案来自Validus Technology。

　　为了创建更好的信用卡，Validus公司发现了一种更好的一次性密码设备。这种一种内置了指纹识别技术的信用卡。只要用手指就能产生一次性密码。将来还可以量身定做RFID形式的设备，使用生物控制和一次性密码来实现对物理和逻辑环境的访问。这种设备可以一直开启，也可以为了实现更高级别的安全通过指纹激活。

　　如果你还没有采用这些解决方案中的任意一种，如果你仍然在采用简单的用户名/密码来进行访问验证，赶快行动来应用更加强大的安全解决方案吧。