使用用戶名/密碼作為主要安全機制的分布式信息系統正在普及。二十多年前，那時系統沒有廣泛應用遠程訪問，那時高級持續威脅（APT）僅僅針對acid reflux 形式，密碼是非常有效地。那是驗證用戶的身份是非常容易證明的。但是，如今系統的高度復雜化和隨時隨地需要訪問一個令人眼花繚亂的互聯系統陣列，同樣地，僅僅依靠密碼去保護那些具有不同危險程度的系統（從訪問你喜歡的棒球隊到你公司的遠程站點），看上去就像是一個奇怪的二分法。驗證一個用戶不在是那么高度可信了。

隨著信息系統在過去二十多年的迅速發展，相應的安全機制并沒有跟上。相反，在現代社會，密碼的使用變得根深蒂固，平局每個人需要記住5到7組不同的密碼。

長期以來，安全專家總是宣傳使用長（12個以上字符）和復雜的密碼（大寫字母，符號和數字），不同的平臺之間不要重復使用密碼。雖然理論上這是好的建議，但在實踐中，有嚴重的缺陷。選擇最容易的方法，這是人類的天性，特別是，在遇到更加復雜的情況出現時做出選擇。因此，許多人會使用他們Facebook的基本相同的密碼作為他們公司的商業賬號密碼。

你能回想起5個完全獨立的復雜密碼嗎？我可以確定某些人不能記得（我可以勉強記得我鞋的尺碼）。是的，現在有很多軟件工具能夠幫助我們減輕記住這么多密碼的煩惱（例如自動密碼管理軟KeePas）或者修改例如口令而不是密碼，因為這些口令可以是大腦中更容易記得的。然而，這只是使人們更容易記住密碼，并不能解決密碼安全根本上的弱點。

即使最好的密碼保護措施也可能會很容易的被破解

為了說明這個道理，讓我們假設每個人都是用冗長的并且復雜的密碼（我懷疑要做到這點需要哈利波特用魔法做到）。使用社會工程攻擊方法，例如網絡釣魚攻擊，會發生什么呢？惡意軟件利用鍵盤記錄器記錄鍵盤操作情況會出現什么現象呢？即使假設每個人都使用最好的密碼保護措施，用戶名/密碼也會被惡意病毒很容易的欺騙從而獲取信息。所有的安全專家都會指責用戶沒有按照冗長和復雜的密碼標準設置，這樣可以確保不會面臨上述的危險。

多因素驗證是什么呢？當然，它是延長密碼生命周期的解決辦法。多因素驗證是一種純粹的戰術移動，迫使網絡黑客轉移戰術。鑒于網絡黑客是非常積極和靈活的，多因素身份驗證控制被破解之前只是時間問題。備受推崇的安全專家Bruce Schneier指出“攻擊者會使用攻擊實時交易的工具獲取多因素身份驗系統信息：中間人攻擊和木馬攻擊會對客戶端進行攻擊。”Schneier是對的，因為瀏覽器中間人攻擊(MitB)最終浮出水面。這個惡意病毒寄托在用戶和網站之間的網絡瀏覽器并被植入其中。它能夠改變用戶所看到的信息和改變系統中真實的信息。

跨越密碼

密碼不再是一個有效的安全控制；事實上，它們具有主要責任。我們正處于一個轉折點，這個轉折點是我們如何面對安全戰線發生巨大的戰略轉變。與其對于用戶身份驗證感到絕望，為什么不集中精力努力識別每個用戶的行為？信用卡行業在安全模式上的大量投資獲得了巨大地成功。他們意識到持卡人（或使用者）相關的賬戶是最不適合降低風險的。通過對行為欺詐監測系統的大量投資，信用卡公司集中為每個用戶的預期行為設立了一個基準。一個超出特征范圍的特定用戶交易將被阻止或接受檢查。這個欺詐監測系統可以應用到任何企業環境。每個員工都會在一個進行定期的完成指定和預期安排的任務。一些違規行為，例如向陌生電子郵箱地址發送公司的客戶數據，或隱藏有知識產權的數據通過加密頻道發送到烏克蘭的服務器上。這將會作為可疑行為被標記，因此，類似情況能夠被阻止和調查。

密碼仍然是行之有效的，但是是開始關注預期行為和建立相應的用戶基線的時候了，因此，我們可以減少對過時的安全措施的依賴。加大對數據泄露防護工具方面的投入，這樣會推進下一代公司欺詐行為技術的進步。戰術的改變（例如多因素身份驗證）在面對網絡黑客（他們已經表現出非常善于改變戰術）時不會總是能夠成功。一個重大的戰略需要做出改變，將給防御者帶來力量平衡的轉變。這不是一個簡單的改變；超過20年的習慣和規范制度需要去打破。事實上，

密碼已經確立成了安全標準，在安全行業中，這種標準將發生重大的文化變革，整個世界會成功完成這一壯舉。毫無疑問，這會花費大量時間和精力。如何做出選擇呢？就像貓和老鼠游戲一樣永遠不會停止。