接下來,我們將一一解答,并在最后給出一些快速提高密碼安全的小竅門。
什么是密碼安全?
密碼安全是使密碼和身份驗證方法更安全的策略、流程和技術的統(tǒng)稱,要讓密碼安全關鍵是要知道如何保護密碼。密碼本身是一種存儲秘密的身份驗證器。也就是說只有您知道這個密碼,并用此密碼向第三方驗證自己身份。其他身份驗證器還包括加密設備、一次性密碼或PIN,以及密鑰訪問卡。
什么樣的密碼才算是高安全性的呢?參考下方要求檢測一下吧!
能防止未經授權的用戶訪問受保護的系統(tǒng)、信息和數(shù)據(jù)。
密碼是否復雜的讓別人難以猜到或破解。
于您而言,密碼是否容易記住。
是否將密碼與他人分享。
是否以安全的方式存儲,防止密碼泄露。
雖然密碼直到20世紀60年代才被引入,但對于組織和用戶來說,密碼已經成為保障網絡與信息安全最有效、最經濟的關鍵核心技術。但密碼安全對賬戶而言不僅僅是密碼本身,它還涉及保護這些密碼及其提供的訪問權限的政策、程序、技術和培訓。例如:
創(chuàng)建和執(zhí)行計算機使用策略和/或BYOD策略,明確指出哪些賬戶可以在哪些設備訪問,要求使用虛擬專用網遠程工作或連接到公共Wi-Fi等。
創(chuàng)建并執(zhí)行密碼策略,以解決特定的密碼創(chuàng)建、存儲和維護需求。
為員工提供培訓和指導,以幫助他們了解建立安全密碼和遵循密碼管理最佳方法的重要性。
為什么密碼安全很重要?
據(jù)IDC的一份報告顯示,在2019年的IT和非IT調查受訪者中,有62%的人表示,人為錯誤是企業(yè)業(yè)務面臨的主要網絡威脅。這種人為錯誤主要是源于企業(yè)的普通員工創(chuàng)建簡單密碼和共享密碼導致的,而不是那些高管或擁有特殊訪問權限的員工。
關于密碼安全的重要性,還有哪些因素需要考慮?
法規(guī)合規(guī)性要求
遵從法規(guī)的合規(guī)性是所有組織都應該關注的一個方面。有多種法規(guī)和監(jiān)管機構要求組織滿足身份認證和數(shù)據(jù)保護的特定標準,也有其他組織制定標準并提供指導使公司和其他組織可以嚴格遵從這些標準。例如:
國家標準技術研究院(NIST)是一個全球性的非監(jiān)管機構,主要負責監(jiān)管美國聯(lián)邦政府附屬機構和組織。多年來,NIST一直致力于在線身份驗證和密碼安全研究,并制定了一套加強密碼安全性的準則,它不僅僅是FBI,USDA和NSA等政府機構必須遵守的準則,也成為了很多企業(yè)遵循的密碼指南。
支付卡行業(yè)數(shù)據(jù)安全標準(PCIDSS)是全球最嚴格、級別最高的金融機構安全認證標準,適用于所有涉及支付卡處理的實體,包括商戶、處理機構、購買者、發(fā)行商和服務提供商及儲存、處理或傳輸持卡人資料的所有其他實體。PCIDSS信息安全標準中強調身份認證,并要求進行密鑰管理,在數(shù)據(jù)傳輸過程中使用強效加密法和安全協(xié)議來保護數(shù)據(jù)。凡是涉及處理支付卡相關數(shù)據(jù)的組織都必須要遵守PCIDSS要求,如不遵從,那么該組織將會面臨巨額罰款。
歐盟的通用數(shù)據(jù)保護條例(GDRP)雖沒有特別提及密碼,但是在第28條中指出,數(shù)據(jù)處理者必須提供相應的技術和措施以滿足本條例要求,確保數(shù)據(jù)主體權利得以安全保護。第25條規(guī)定,決定處理哪些數(shù)據(jù)以及如何處理數(shù)據(jù)的控制者也必須執(zhí)行此類保護措施,以保護數(shù)據(jù)主體的權利。這就意味著凡是參與涉及個人數(shù)據(jù)處理的組織都必須采取安全措施來保護他們處理的數(shù)據(jù)。目前,使用強而獨特的密碼策略是安全措施中的最佳做法。
基于組織風險考慮
我們前面提到過,不安全的密碼和不良的密碼管理習慣會給組織增加釣魚攻擊和數(shù)據(jù)泄露的風險。看看下面的幾個案例就明白了。
美國聯(lián)邦調查局網絡犯罪投訴中心(IC3)在2019年的報告中稱,商業(yè)電子郵件泄露和電子郵件賬戶泄露(BEC/EAC)犯罪造成了超過17億美元的損失。
2020年7月,Twitter頂級認證用戶賬戶的泄露與憑證泄露有關。一名Twitter員工成為了這場社交工程攻擊的目標,攻擊者使用該員工的憑證訪問Twitter內部系統(tǒng),攻擊和破壞130個用戶賬戶(包括伊隆·馬斯克、巴拉克·奧巴馬、喬·拜登和比爾·蓋茨等名人賬戶),用比特幣的虛假承諾欺騙用戶。此次詐騙給受害者造成價值11.8萬美元的比特幣損失。
弱密碼樣例
不安全的密碼各式各樣,但是很多都具備以下特點:包含常用的單詞,打字習慣,于自己而言非常重要的人的名字(如孩子或父母的名字),有特殊意義的日期(如生日或紀念日)等等。
那么,最常用的弱密碼是什么樣的呢?根據(jù)CyberNews的報道,以下是全球最常用的10個密碼:
123456
123456789
qwerty
password
12345
qwerty123
1q2w3e
12345678
111111
1234567890
如何確保密碼安全?
高安全性的密碼需要從哪些方面著手呢?
首先,設置的密碼足夠長且復雜,還要易于記住。一般要求至少有12個字符,同時使用大寫字母和小寫字母,并包含一些隨機數(shù)字和特殊符號。采用密碼短語可以幫助您記住密碼,也可以使用數(shù)字和符號代替字母使密碼變得足夠復雜,如“H0use”代替“House”,“G@m3r”代替“Gamer”。
其次,強制要求用戶為每個賬戶創(chuàng)建唯一的密碼。如果用戶嘗試創(chuàng)建具有相同字母、數(shù)字、字符的新密碼,則阻止此憑證通過。另外,將密碼設置為密碼安全策略的一部分,即用戶必須為每個帳戶創(chuàng)建唯一的密碼,并且切勿與其他任何人共享密碼。
再者,選擇安全的密碼存儲方式保護密碼安全。在任何情況下不要使用純文本格式存儲密碼,建議使用經過批準的密碼管理器以確保所有密碼的安全。更安全的做法是存儲加鹽的哈希值,以防止暴力攻擊和彩虹表攻擊。
顯然,要確保高安全性密碼認證需要做很多工作。那是否有一種可以幫助用戶更容易確保憑證安全,也便于企業(yè)IT團隊安全管理的方式嗎?研究表明,通過簡單便利的無密碼身份認證的方法可以有效地協(xié)調用戶和業(yè)務需求。
無密碼身份認證
與傳統(tǒng)的基于密碼的身份驗證流程相比,無密碼身份認證(PasswordlessAuthentication)更方便,更安全。當前,有兩種方法可以做無密碼身份認證。一種選擇是使用多因素身份認證(MFA),另一種是基于數(shù)字證書的身份認證或基于PKI的身份認證。
多因素身份認證(MFA)
多因素身份認證(MFA)是一種更安全,多層次的防御系統(tǒng),這種機制需要您提供兩種或多種類型的獨立憑證:
您知道的東西(如密碼或PIN)
您擁有的東西(如手機APP,安全性令牌或者智能卡)
您是誰(生物識別驗證,如指紋識別,面部識別,視網膜掃描,語音識別)。
基于數(shù)字證書的身份認證
基于PKI的認證方法比傳統(tǒng)的MFA方法更安全。PKI作為網絡安全的基礎設施,是集加密技術、系統(tǒng)、流程和策略的統(tǒng)稱。基于證書的設備身份認證將PKI數(shù)字證書與信任模型(TPM)結合使用,即在設備上安裝一個數(shù)字證書,該證書將組織或個人的身份與該設備聯(lián)系在一起,從而提供了客戶端身份驗證,讓您的設備向服務器證實其身份,而不必輸入密碼。
基于PKI的無密碼身份認證的優(yōu)點如下:
用戶不再需要創(chuàng)建或記住復雜的密碼,因為數(shù)字證書無需密碼來驗證用戶身份。
勿需擔心錯誤的密碼存儲方法帶來的風險。
不會成為網絡釣魚和其他憑證攻擊的犧牲品。
提高密碼安全性的6個小竅門
綜上所述,基于密碼的身份驗證并不是一種萬能的方法。在這里,提供幾個小竅門讓您的密碼安全更有效。
不要與他人共享您的登錄信息。即使您精心創(chuàng)建了一個強而復雜的密碼,也并不意味在與他人共享后還能確保您的登錄憑證安全。
不要在多個帳戶中重復使用相同的密碼。大多數(shù)用戶常犯的一個錯誤是在多個帳戶之間重復使用相同密碼。如果該密碼遭到泄露、釣魚攻擊或被盜,那意味著使用該密碼的其他帳戶都將有同樣的風險。
使用長的密碼短語代替復雜又難記的密碼。長的密碼短語比復雜的密碼更容易讓用戶記住。對于不依賴密碼管理器的用戶來說,這樣的密碼更有效。
阻止用戶使用違規(guī)列表中的密碼。請阻止用戶使用可在公共數(shù)據(jù)泄露列表中能查到的憑證密碼!
確保企業(yè)組織正確存儲密碼哈希值。請不要直接用明文格式存儲密碼,而應存儲密碼哈希值,并使用哈希加鹽法為密碼加密,這樣不僅使密碼可以抵抗暴力攻擊,而且可以防止彩虹表攻擊。
選擇基于數(shù)字證書的身份認證方式,徹底擺脫繁瑣而又不安全的密碼。
