思考的碎片---8/27 網路密碼安全結構的安排 slamnow
http://blog.sina.com.cn/s/blog_6a54e96a01014igm.html思考的碎片---8/27
網路密碼安全結構的安排
網路時代每個人會有N個密碼。很多人甚至是同一個用戶名同一套密碼。(至於不同用戶名問題涉及另外一個互聯網文化的倫理問題另外討論)
其實這有一定風險。早前和@linan 討論過 一個比較好的密碼安全結構的安排方式。供各位參考。
這個安排是分三個級別。
最高級:和real
money有關的,主要涉及無限責任的。比如網銀(不包括支付寶,如果不開通快捷支付。支付寶幾乎就是一個交通卡。損失有限)
這部分的密碼是安全級別最高。同時用戶名和密碼最好是獨立一套。
同時要注意這部分密碼一定要使用雙因素認證 two
factor authentication.
原理可以自己去google or wiki核心是兩句話 something you have ,something you
know.
按照我的理解最安全的是如下三個方式
1.刮刮卡,甚至可以反覆使用,如果不被拍照的話。
2.短信
足夠安全,如果手機不掉的話。密碼和手機同時失竊那麼基本是親密關係的人導致的。所以安全性足夠。
3.token方案,中行就用的RSAtoken方案。歐洲,新加坡
香港。這類離岸市場,和多運營商小國家跨地域營業的都喜歡使用token方案。獨立但是必須攜帶。
這三個雙因素是最好的,有人會說UBS加密狗,那個N年前就有案例。。。詳細自己去google提示一下健康關鍵詞。
以上是money matter 無限責任的安全系統。
接下來兩個層次是互聯網相關的。
第二級:這可以有兩部分。A Gmail郵箱密碼或者hotmail
這作為所有互聯網密碼的基石。同時現在尋回密碼支持手機驗證碼這個安全性也足夠高。同時還足夠便利。話說最高級的密碼是很麻煩的。每次手忙腳亂。
至於為何用gmail 和hotmail大家都懂的,yahoomail是不靠譜的。更別說百度和QQ了。
別和我扯蛋。
這個邏輯也很類似DNS
的6個金字塔提供基礎信用。這樣的邏輯。基礎郵箱提供基礎信用。保證這個郵箱的安全就是保證整個互聯網應用的安全。
B.類支付寶這樣有限損失的money matter。這裡也簡單。便利和安全性的矛盾。既然是有限損失就取便利性。
這個邏輯和早前探討過的移動支付裡的money in bank 和money in card一樣的。in bank安全要求高。in
card就是一張交通卡而已。便利性佔上風。
第三級的其他任何互聯網註冊的用戶名和密碼都可以是一致的。這樣減少記憶的壓力。符合人性。出了問題直接用基石信箱尋回。
從應用實踐來看移動互聯網國外的大部分可以用FB帳號登錄。這應該是趨勢。