5个月前的一天,卡瑞姆•黑贾兹(Karim Hijazi)在阅读工作邮件时看到了一个异常现象。一条已经被标记为“已读”的信息突然被标记为“未读”。
黑贾兹是计算机网络安全公司Unveillance的创始人。他很快意识到,有黑客闯入了他的账户。
黑客从一个不安全的网站窃取了他的登入信息,然后将这些信息与他们从互联网上找到的密码配对,从而进入了他的电子邮箱。这些黑客在下载了黑贾兹的所有电子邮件后给他发信,要求他把敏感的安全信息发给他们。当他拒绝这一要求后,黑客就在网上公布了他的电子邮件。
他说:“这种行为就像一个婴儿持枪一样危险。”
这些电脑黑客使用合法密码进入网站、公司网络和电子邮件账户,黑贾兹就是最新的受害者之一。许多这类黑客闯入安全防护不严的网站,窃取充满个人信息的数据库,然后从中筛选公司、政府机构和银行的登入信息。
这种黑客攻击变得越来越频繁,促使一些公司在简单密码之外寻找其他形式的数据保护措施。
市场上对额外的防护和检测程序的需求量已经很大了。据总部位于马萨诸塞州弗雷明汉的国际数据公司(International Data Corp.)称,去年这些产品的全球销售额超过了9亿美元。该公司预计,到2015年,这个市场的规模将扩大一倍。
动态口令牌的力量
增长最迅速也最为人所知的技术之一是动态口令牌。这项技术又被称为双重认证,向用户提供一个根据专门的算法生成的短期有效的数字组合。通常,用户在输入用户名和密码之后再输入这个动态口令。
以前,动态口令牌仅限于小型设备,比如挂在许多公司员工钥匙链上的那些小玩意。然而,国际数据公司的分析师萨莉•哈德逊(Sally Hudson)说,随着智能手机被广泛使用,生成这些一次性密码的技术可以被轻松地转化成手机应用程序,从而使其更易四处携带,并降低公司的管理成本。
谷歌(Google Inc.)就是最近开始向用户提供这种技术的公司之一。去年,这家互联网巨头向其企业级服务的客户免费提供这种额外的安全保障。几个月后,谷歌向所有账户持有人开放这项技术,让他们在使用电子邮件和日历等应用程序时使用。谷歌说,这个程序已经很流行了,每天有成千上万名用户注册使用该技术。
然而,并非所有公司都希望强制客户和员工使用额外的登入口令。相反,许多企业都求助于那些在坏人输入合法用户名密码之后再把他们揪出来的技术。
当客户首次登入时,这些被称为机器指纹的程序能够快速记录客户所用电脑的设置。这些数据一般包括地点、显示器大小以及浏览器类型。等到下一次有用户登入时,系统就会用历史数据对比核查,以确定这个人是黑客或用户的可能性有多大。
如果疑点很多,系统可能会要求再输入一条信息,例如从公共信息数据库中撷取的一条个人信息,然后才会允许这名用户完成登入。
这项技术最初很受银行的欢迎,后来扩展到各种类型的企业,包括Facebook等流行的社交网站。检测程序也是EMC Corp.旗下信息安全子公司RSA发展最快的产品之一,这家领先市场的信息安全公司利用这项技术保护着大约2.5亿个登入账户。
不错的替代选择
然而,这些额外的安全防护也并非尽善尽美。比如通过回答根据公共信息生成的问题,或者是在一次性密码生成的过程中看到这些密码,黑客是有可能突破防护的。但是,分析师说,选择在市场上占领先地位的产品要好过单纯依赖密码。
总部位于亚利桑那州斯科茨代尔的Lumension Security Inc.的分析师保罗•亨利(Paul Henry)说:“我们是在给坏人设置减速带。”