口令并非免费:口令的隐性成本

      Since: http://www.sebug.net/bbs/thread-80-1-1.html

      密码、口令,这些看似只有我们个人才会知道,而且对我们信息安全起关键作用的密码安全,有没有计算成本呢?

      许多依靠个人习惯和需求而不顾企业安全管理的人认为口令是免费的。的确,口令功能是操作系统和大多数软件提供的一种功能。我们购买这种形式的身份识别不用支付额外的钱。然而,常识和研究结果认为,使用口令进行身份识别对于机构来说是要付出重要代价的。

  主要问题是忘记的口令。丢失口令的用户也能要访问一个自动的口令重新设施程序。在这种情况下,口令也许是很低的。例如,可以建立一个一次性加密的个人信息问题和答案的数据库。让用户回答一些问题对这个系统进行身份识别。一个例子是M-Tech身份识别管理套装软件。这个软件提供了这种准确的功能避免服务台参与口令重新设置。

  即使这个过程也有少量的成本。根据忘记口令的员工的每分钟工资成本和外延成本(与设施、供应、服务和其它财务项目有关的成本),这个成本会有所不同。据说外延成本为大约50%,如果某人年薪8万美元(2000工作小时),每个员工1分钟的成本大约是1美元。其它的算术问题你可以自己算。

  如果服务台参与重新设置口令,特别是因此延误回复紧急电话,这个成本还要提高。除了服务台人员的时间成本之外,最大的成本还包括被锁在外面的用户等待回复的成本。按照上面提到的员工1分钟1美元的成本计算,五分钟等待时间就是5美元,延误半个小时是30美元。你会用30分钟等待服务台回电话吗?

  忘记口令的员工数量,每个员工忘记口令的平均次数等因素都会提高这个口令的成本。

  市场研究公司Burton Group和Gartner称,口令重新设置占服务台全部工作的30%。市场研究公司META Group预测,服务台的每一部电话成本为25美元。RSA公司发表的白皮书称,对于一个有1000用户的机构来说,前三年的拥有总成本是大约67.3万美元,平均每个用户673美元。大约98%的成本是管理成本。

079ba6eb

关键词: 安全管理 , 成本 , 口令

上一篇: php空字节的一个tips
下一篇: VH_Gh0st For IIS V1.4

访客评论
#1
回复 小色 2008-06-22, 07:18:15
相比之下   口令成本还是值的,至少它比没有口令而造成的损失要少的多。
如果换成其他验证,不就OK了?
#2
回复 安信天下 2008-06-22, 12:29:38
怎么验证比这个也低?
#3
回复 iker 2009-12-22, 15:32:46
这个成本应该是在可接受范围内的
发表评论

评论内容 (必填):