摘要：

亚略特研究院研究结果显示，抛开技术本身，指纹识别的根本优势在于，它确保每一次的身份认证被严格执行，它使安全防护水平不再受制于用户的行为或自制力，它解决的其实一个安全管理问题。

数字资产安全是企业普遍面对的焦点问题，来自网络内部或外部的威胁从来消停，而在信息安全领域中，密码危机又显得尤为突出。与此同时，对多数组织而言，花费在解决密码安全机制上的投入和精力，又在成为一项新的负担。

亚略特研究院研究显示，多数组织花费解决密码安全问题上的投入，并没有为组织带来更高的安全性，这其中的根本原因在于，密码通常只在正确使用的前提下才能发挥作用，然而密码是否被正确使用，并不由组织决定，而由终端用户本人决定，正是密码使用的随意性，松散而难以管理，导致了密码被盗、共用、或者黑客截取等多种问题。

因此，亚略特建议您“从全新的角度来看待密码问题，每投入一项新的安全技术，不仅要考虑技术本身的细节，还应从管理角度，考虑执行上的难易，以及整体ROL投资回报率”。 以下的部分，我们将重点阐述几个问题：

• 传统密码存在的风险和管理成本。
• 常见几种安全认证技术的优缺点分析，如SSO、token、智能卡等。
• 指纹识别方案投资回报率。
• 密码是网络安全中的最大隐患

许多安全专家早就告诫我们，从认识系统中的弱点做起，然后想办法弥补它们来减轻威胁，对许多公司来说，密码就是安全架构中最显而易见的弱点。据CERT组织调查，80%安全攻击都与密码有关，而据Gartner调查，40%的桌面求援是源于密码忘记，为了维系密码安全，平均每个公司每年要为每个用户花费$200-$300。

对于密码机制深层次的弱点，亚略特研究院发现：

• • 受制于先天的惰性，人们从来不会主动遵守高强度的管理政策，在这一点上，人是不能够完全信赖的。
• • 微妙的人际关系，在许多共用密码的案例中，50%的受访者承认，他们也不愿意把密码告诉别人，常常是紧急情况，或者情面所至。
  • 这是个效率为先的时代，以影响工作、紧急事故常常成为忽略密码安全的借口。
• • 一定会存在别有用心的害群之马。通过借用柜员卡盗走资金的案件在金融界屡有发生，这是因为从表面上，无法判断出某个人会在什么时候，什么情况下，因为某个机会，做出威胁系统安全的事。

针对密码存在的风险，许多组织会提供密码使用指南或者密码常识培训，但是人性的弱点始终未得到根治。

• 容易的密码：用户倾向于用他们熟悉的信息来设置他们能够容易记住的密码，这样也使得hacker也容易猜到，简单的密码破解程序可以很快地猜出完整的密码。

• • 多个系统用同个密码：为了避免记忆麻烦，人们会用同样的密码来关联多个系统，甚至包括某些公开输入密码的网页或窗口，只要窃取一次，后门就会同时打开许多个。
• • 容易获取的密码：这是指在使用长密码的时候，人们会因为它难以记忆，而把他们写下来，高强度的密码也导致更多的桌面求援，并且影响员工的工作效率，如果为了保障安全而降低了使得，就会导致它无法执行。
• • 好心人常常容易受骗：密码是社会工程攻击(Social Engineering Attack)的典型案例，社会工程学指利用人的弱点，以顺从你的意愿、满足你的欲望的方式，让你上当的一门社会艺术。，根据PentaSafe公司的调查结果，4/5的员工会将自己的密码共享给同事，尽管有时他们也不情愿。”

使情况更糟糕的事，攻击者只需要找到安全系数最低的那个密码就可以，这样一个密码的泄露，已经有可能会危及整个系统的安全，但是事实上，亚略特研究院给出的结论是：“企业的信息安全等级不是由守规矩、负责任的那些用户决定，而恰恰受制于那些不守规矩、怠慢、懒散的用户。”