TL；DR：安全与便利：要真正保证信息的安全，你需要同时做到这两个方面——原因和方法如下。在安全行业，每个人过去都相信，为了安全起见，有些东西是不方便的。安全和便利只起相反的作用。让访问变得困难是保证信息安全的最好方法。但后来我们遇到了人为因素。自从第一次密码泄露（密码发明仅一年）以来，我们一直在寻找使密码更安全的方法。首先，我们让他们更难相处。这意味着我们增加了作为访问密钥的字符串的复杂性，什么叫大数据，并要求定期更改密码，使情况变得更糟。这就产生了贴在显示器旁边的便笺上的密码。对于那些不想到处张贴的人，亚马逊现在出售密码日记。我的评论指出了这个产品的安全风险，但被300人投票认为"没有帮助"。显然，许多沉默的人不同意我的意见。亚马逊现在有多个版本的密码日记，每一个版本都有数百条好评。"@Auth0 Ciso Joan Pepin解释了如何让安全变得更容易让它更安全。@"云奇索琼"在推特上留言简单的理由亚马逊（Amazon）上密码日志的激增，是对日益多样化和日益复杂的技术环境的一种可以理解（如果不明智的话）的回应。消费者要求更多的定制化，员工也希望在他们的消费设备上获得同样的体验。我们现在有非技术人员习惯于在一天中访问非常技术性的服务，他们不想记住五个或更多不同的密码来完成所有工作。安全团队可以创建系统和协议-这是我作为Auth0的CISO所做的工作的很大一部分-但是如果人们不按预期使用系统，这些都不能保证任何安全。所以，如果我们知道他们会绕过程序和协议，为什么不让他们更容易地遵守呢？NIST简化了密码指南在看到人们试图对复杂的密码要求做出回应之后，NIST（美国国家标准与技术研究所）去年夏天修订了指导方针。作为美国商务部的一个非监管部门，家庭人工智能，NIST只对美国联邦网站的标准拥有权力，但它对各地的企业标准都产生了深远的影响。公司通常使用NIST作为自己政策的基础。因此，NIST对数字身份的新认识提供了一系列指导方针，包括建议只有在您认为自己受到了威胁时才更改密码。具有讽刺意味的是，要求用户创建更长的密码，这样可能更容易记住，而且很少更改密码，这样可以提高安全性。更简单，更安全。不过，NIST也建议多因素认证，这可能看起来不太方便，如果不难的话。多因素已经很方便了（真的）您需要在世界其他地方和您的认证用户集之间建立一个强大的门户。正如我前面提到的，你需要这个门更方便，否则你的用户会想出一个办法绕过你的保护。从表面上看，NIST对多因素身份验证的建议看起来像是恢复了对安全性的需求，淘客机器人，从而带来了挑战，但实际上，什么是多因素身份验证？"你至少需要一个类似于"你知道一个成功的密码的东西"的"你知道一个多因素的东西，免费云服务器永久使用，至少你有一个成功的密码"的东西。_如果您曾经使用过ATM，那么您已经使用过多因素身份验证_自1980年代自动取款机开始使用以来，多因素身份验证就一直存在。""你知道的东西"是你的密码，"你有的东西"是你的自动取款机或借记卡。人们喜欢在例子中提到的那个陈规定型的祖母，在我们有些人出生之前就一直在使用多因素身份验证。更简单需要更多的工程设计当我们第一次担心安逸的危险时，安全行业的专家们并没有完全错。如果用户体验中没有足够的考虑，那么Easy可能是有风险的。一个工程师要想办法使事情变得简单。可能的用例、潜在的技术、交互作用以及诸如黑客攻击、意外使用和错误配置等威胁向量都需要彻底的考虑和规划。婴儿和宠物摄像头就是一个很好的例子。在你的WiFi上设置了一个之后，你的客户就可以通过笔记本电脑或手机在下班后查看他们的孩子（或狗）。看起来很不错，对吧？但现在你已经让终端用户能够通过互联网访问孩子的实时提要。你需要考虑如何保护这项功能，因为如果你把一个网络服务器放在摄像机上，谷歌会索引它，因为谷歌索引网络服务器。如果有人知道如何做搜索字符串，他们可以在一次搜索中得到所有的婴儿。要做到安全，需要工程师深思熟虑。消费者和员工开始期待一个无缝的用户体验，为他们的个人喜好、地理位置和设备量身打造，所有这些都增加了复杂性工程一个灵活的解决方案。易用性满足了最终用户对积极体验和安全性的需求正如我在Auth0安全会议上提到的，我看到了组织和政府对责任的一种趋势，但所有这些责任的驱动力实际上是最终用户。像GDPR这样的法规赋予个人保护个人数据的权力，同时建立在对快速违约通知的预期中。其他国家也在考虑保护个人数据。虽然立法者可能并不总是了解网络安全最佳实践，但他们确实了解选民的期望。选民生活的很大一部分发生在网上，他们希望自己是安全的。在他们得不到保护的情况下，我预计消费者会开始追究公司的责任。如果政府不能保护他们，云估价，他们将用他们的钱包投票。"当我们第一次担心放松的危险时，安全行业专家并没有完全错。如果用户体验中没有足够的考虑，那么Easy可能是有风险的。@"云奇索琼"在推特上留言如何获得专家帮助当你创建一个新的应用程序时，你的主要关注点是你的客户将如何使用它。他们如何获得访问权可能是事后诸葛亮的事情，或者说是很容易的事情，因为建立一个数据库并使其与登录框对话可以很快完成。要保证所有数据的安全要困难得多。一个工程师能做的最聪明的事情之一就是找一个每天都能抵御黑客攻击的人。不是密码专家？伟大的。你已经意识到你不应该在加密上浪费时间。像通用汽车这样的公司已经利用了变速器、轮胎和其他产品方面的专家的技能来制造他们现在盈利的汽车。同样的策略在数字环境中也可以有效。将您的大量技能应用于产品的核心，让专家第三方（如Auth0）处理身份验证和授权，以帮助您创建安全、无缝的最终用户体验。关于Auth0Auth0为应用程序、设备和用户提供了一个验证、授权和安全访问的平台。安全性和应用程序团队依赖Auth0的简单性、可扩展性和专业知识，使身份对每个人都有效。Auth0每月维护超过45亿次登录交易，确保身份安全，从而使创新者能够进行创新，并使全球企业能够为其全球客户提供可靠、卓越的数字体验。更多信息，请访问https://auth0.com或在Twitter上关注@auth0。Auth0文档在几分钟内实现身份验证.灯箱{宽度：100%；高度：100%；位置：固定；顶部：0；左：0；背景：rgba（0，0，0，0.85）；z-指数：9999999；线高：0；光标：指针；}.灯箱图像{光标：指针；余量：0自动；显示：块；}.灯箱图像{职位：亲属；顶部：50%；左：50%；-ms转换：translateX（-50%）translateY（-50%）；-webkit转换：翻译（-50%，-50%）；转换：平移（-50%，-50%）；最大宽度：100%；最大高度：100%；}@媒体屏幕和（最小宽度：1200像素）{.灯箱图像{最大宽度：1200px；}}@媒体屏幕和（最小高度：1200像素）{.灯箱图像{最大高度：1200px；}}.灯箱跨度{显示：块；位置：固定；底部：13px；高度：1.5em；线路高度：1.4em；宽度：100%；文本对齐：居中；颜色：白色；文本阴影：-1px-1px 0#000，1px-1px 0#000，-1px 1px 0#000，1件1件0万件；字体系列："fakt web"，"Helvetica Neue"，Hevetica，sans serif；字号：18px；}.lightbox.videowrapper容器{职位：亲属；顶部：50%；左：50%；-ms转换：translateX（-50%）translateY（-50%）；-webkit转换：翻译（-50%，-50%）；转换：平移（-50%，-50%）；