據Verizon 釋出的《2020年資料洩露調查報告》顯示,超過80%的資料洩露都是***利用被盜密碼或弱密碼導緻的。密碼安全對于企業,組織和個人使用者來說都是非常重要的。但是,很多人并不重視密碼安全,甚至不知道什麼是強密碼。那麼,什麼是密碼安全?強密碼和弱密碼是什麼樣的?如果您的組織沒有高安全性密碼,會有哪些風險?除了建立強密碼外,還有其他方式解決密碼安全問題嗎?
接下來,銳成資訊将一一解答,并在最後給出一些快速提高密碼安全的小竅門。
什麼是密碼安全?
密碼安全是使密碼和身份驗證方法更安全的政策、流程和技術的統稱,要讓密碼安全關鍵是要知道如何保護密碼。密碼本身是一種存儲秘密的身份驗證器。也就是說隻有您知道這個密碼,并用此密碼向第三方驗證自己身份。其他身份驗證器還包括加密裝置、一次性密碼或PIN,以及密鑰通路卡。
什麼樣的密碼才算是高安全性的呢?參考下方要求檢測一下吧!
- 能防止未經授權的使用者通路受保護的系統、資訊和資料。
- 密碼是否複雜的讓别人難以猜到或破解。
- 于您而言,密碼是否容易記住。
- 是否将密碼與他人分享。
- 是否以安全的方式存儲,防止密碼洩露。
雖然密碼直到20世紀60年代才被引入,但對于組織和使用者來說,密碼已經成為保障網絡與資訊安全最有效、最經濟的關鍵核心技術。但密碼安全對賬戶而言不僅僅是密碼本身,它還涉及保護這些密碼及其提供的通路權限的政策、程式、技術和教育訓練。例如:
- 建立和執行計算機使用政策和/或BYOD政策,明确指出哪些賬戶可以在哪些裝置上通路,要求使用***遠端工作或連接配接到公共Wi-Fi等。
- 建立并執行密碼政策,以解決特定的密碼建立、存儲和維護需求。
- 為員工提供教育訓練和指導,以幫助他們了解建立安全密碼和遵循密碼管理最佳方法的重要性。
為什麼密碼安全很重要?
據IDC的一份報告顯示,在2019年的IT和非IT調查受訪者中,有62%的人表示,人為錯誤是企業業務面臨的主要網絡威脅。這種人為錯誤主要是源于企業的普通員工建立簡單密碼和共享密碼導緻的,而不是那些高管或擁有特殊通路權限的員工。
關于密碼安全的重要性,還有哪些因素需要考慮?
法規合規性要求
遵從法規的合規性是所有組織都應該關注的一個方面。有多種法規和監管機構要求組織滿足身份認證和資料保護的特定标準,也有其他組織制定标準并提供指導使公司和其他組織可以嚴格遵從這些标準。例如:
國家标準技術研究院 (NIST) 是一個全球性的非監管機構,主要負責監管美國聯邦政府附屬機構群組織。多年來,NIST一直緻力于線上身份驗證和密碼安全研究,并制定了一套加強密碼安全性的準則,它不僅僅是FBI,USDA和NSA等政府機構必須遵守的準則,也成為了很多企業遵循的密碼指南。
支付卡行業資料安全标準(PCI DSS)是全球最嚴格、級别最高的金融機構安全認證标準,适用于所有涉及支付卡處理的實體,包括商戶、處理機構、購買者、發行商和服務提供商及儲存、處理或傳輸持卡人資料的所有其他實體。PCI DSS資訊安全标準中強調身份認證,并要求進行密鑰管理,在資料傳輸過程中使用強效加密法和安全協定來保護資料。凡是涉及處理支付卡相關資料的組織都必須要遵守PCI DSS要求,如不遵從,那麼該組織将會面臨巨額罰款。
歐盟的通用資料保護條例(GDRP)雖沒有特别提及密碼,但是在第28條中指出,資料處理者必須提供相應的技術和措施以滿足本條例要求,確定資料主體權利得以安全保護。第25條規定,決定處理哪些資料以及如何處理資料的控制者也必須執行此類保護措施,以保護資料主體的權利。這就意味着凡是參與涉及個人資料處理的組織都必須采取安全措施來保護他們處理的資料。目前,使用強而獨特的密碼政策是安全措施中的最佳做法。
基于組織風險考慮
我們前面提到過,不安全的密碼和不良的密碼管理習慣會給組織增加釣魚***和資料洩露的風險。看看下面的幾個案例就明白了。
美國聯邦調查局網絡犯罪投訴中心(IC3)在2019年的報告中稱,商業電子郵件洩露和電子郵件賬戶洩露(BEC/EAC)犯罪造成了超過17億美元的損失。為了避免類似的情況發生,銳成資訊強烈建議您采用郵件安全解決方案,防止郵件資訊洩露。
2020年7月,Twitter頂級認證使用者賬戶的洩露與憑證洩露有關。一名Twitter員工成為了這場社交工程***的目标,***者使用該員工的憑證通路Twitter内部系統,***和破壞130個使用者賬戶(包括伊隆·馬斯克、巴拉克·奧巴馬、喬·拜登和比爾·蓋茨等名人賬戶),用比特币的虛假承諾欺騙使用者。此次詐騙給受害者造成價值11.8萬美元的比特币損失。
弱密碼樣例
不安全的密碼各式各樣,但是很多都具備以下特點:包含常用的單詞,打字習慣,于自己而言非常重要的人的名字(如孩子或父母的名字),有特殊意義的日期(如生日或紀念日)等等。
那麼,最常用的弱密碼是什麼樣的呢?根據CyberNews的報道,以下是全球最常用的10個密碼:
- 123456
- 123456789
- qwerty
- password
- 12345
- qwerty123
- 1q2w3e
- 12345678
- 111111
- 1234567890
如何確定密碼安全?
高安全性的密碼需要從哪些方面着手呢?
首先,設定的密碼足夠長且複雜,還要易于記住。一般要求至少有12個字元,同時使用大寫字母和小寫字母,并包含一些随機數字和特殊符号。采用密碼短語可以幫助您記住密碼,也可以使用數字和符号代替字母使密碼變得足夠複雜,如“H0use”代替“House”,“G@m3r”代替“Gamer”。
其次,強制要求使用者為每個賬戶建立唯一的密碼。如果使用者嘗試建立具有相同字母、數字、字元的新密碼,則阻止此憑證通過。另外,将密碼設定為密碼安全政策的一部分,即使用者必須為每個帳戶建立唯一的密碼,并且切勿與其他任何人共享密碼。
再者,選擇安全的密碼存儲方式保護密碼安全。在任何情況下不要使用純文字格式存儲密碼,建議使用經過準許的密碼管理器以確定所有密碼的安全。更安全的做法是存儲加鹽的哈希值,以防止暴力***和彩虹表***。
顯然,要確定高安全性密碼認證需要做很多工作。那是否有一種可以幫助使用者更容易確定憑證安全,也便于企業IT團隊安全管理的方式嗎?研究表明,通過簡單便利的無密碼身份認證的方法可以有效地協調使用者和業務需求。
無密碼身份認證
與傳統的基于密碼的身份驗證流程相比,無密碼身份認證(Passwordless Authentication)更友善,更安全。目前,有兩種方法可以做無密碼身份認證。一種選擇是使用多因素身份認證(MFA),另一種是基于數字證書的身份認證或基于PKI的身份認證。
多因素身份認證(MFA)
多因素身份認證(MFA)是一種更安全,多層次的防禦系統,這種機制需要您提供兩種或多種類型的獨立憑證:
- 您知道的東西(如密碼或PIN)
- 您擁有的東西(如手機APP,安全性令牌或者智能卡)
- 您是誰(生物識别驗證,如指紋識别,面部識别,視網膜掃描,語音識别)。
基于數字證書的身份認證
基于PKI的認證方法比傳統的MFA方法更安全。PKI作為網絡安全的基礎設施,是集加密技術、系統、流程和政策的統稱。基于證書的裝置身份認證将PKI數字證書與信任模型(TPM)結合使用,即在裝置上安裝一個數字證書,該證書将組織或個人的身份與該裝置聯系在一起,進而提供了用戶端身份驗證,讓您的裝置向伺服器證明其身份,而不必輸入密碼。
基于PKI的無密碼身份認證的優點如下:
- 使用者不再需要建立或記住複雜的密碼,因為數字證書無需密碼來驗證使用者身份。
- 勿需擔心錯誤的密碼存儲方法帶來的風險。
- 不會成為網絡釣魚和其他憑證***的犧牲品。
密碼安全和無密碼身份認證那些事兒
提高密碼安全性的6個小竅門
綜上所述,基于密碼的身份驗證并不是一種萬能的方法。在這裡,銳成資訊提供幾個小竅門讓您的密碼安全更有效。
- 不要與他人共享您的登入資訊。即使您精心建立了一個強而複雜的密碼,也并不意味在與他人共享後還能確定您的登入憑證安全。
- 不要在多個帳戶中重複使用相同的密碼。大多數使用者常犯的一個錯誤是在多個帳戶之間重複使用相同密碼。如果該密碼遭到洩露、釣魚***或被盜,那意味着使用該密碼的其他帳戶都将有同樣的風險。
- 使用長的密碼短語代替複雜又難記的密碼。長的密碼短語比複雜的密碼更容易讓使用者記住。對于不依賴密碼管理器的使用者來說,這樣的密碼更有效。
- 阻止使用者使用違規清單中的密碼。請阻止使用者使用可在公共資料洩露清單中能查到的憑證密碼!