只要是人,难免会重复使用一两个密码。事实上,大多数18-65岁的互联网用户都这样做,而且您越年轻,您就越有可能为所有帐户使用相同的密码。每个人都知道这是不好的做法,而且大多数互联网用户都知道如何创建足够强的密码:它们应该包含随机字母、数字和字符,长度至少为16个字符,最重要的是:必须是唯一的。那么,为什么人们不为他们的每个帐户创建不仅唯一而且足够安全的密码呢?原因在于,根据美国国家标准技术研究院(NIST)去年发布的新身份管理指南的结论,对密码“复杂性”的强调实际上忽略了需要管理大量密码的现实在现有基础上。普通互联网用户大约有200个在线帐户,因此实际上很难责怪用户不保证其大量密码的唯一性。但与此同时,我们没有理由责怪那些要求用户使用足够复杂的密码以遵守良好做法的公司,却对忽视用户无能为力。不幸的是,虽然NIST的新身份管理指南提供了一个看似出色的密码安全机制补救路线图,但在涉及密码要求、安全检查或用户密码习惯时,它实际上并没有太大影响。现在是企业停止抵制变革并引导其员工和客户养成更安全、更易于管理的密码习惯的时候了。准确了解威胁是如何实施的可以帮助我们采取简单的预防措施来阻止那些接触受保护账户的人。不要被猜到。一如既往,网络漫画网站XKCD用简洁有趣的漫画描述了帐户接管的现实(攻击真的不需要太多)——“这把钥匙能打开那把锁吗?”我们可以很合理地假设某人在某个地方对网站运行了帐户检查工具,输入了一系列已知的电子邮件地址和类似的密码,或者包含网站名称的密码。例如,使用“123456”、“abcd1234”或“password”,毕竟这些都是不安全密码领域的佼佼者。密码不得与用户名相同,不得包含网站或相关服务的名称,不得为连续的字母或数字,不得为简单组合或普通文字。我们都知道,攻击者可以使用一些工具来非常快速地检查所有此类密码,以查看他们是否可以打开用户帐户的大门,而这些工具会尝试使用密码的变体来对抗基于用户的“智能”在简单的密码上。为了防止用户使用容易被猜到的密码,企业应创建或下载常用密码列表,并将用户使用的密码与这些列表进行比较。应建议不要使用匹配的、形式简单的或包含网站/服务名称(或其他类似变体,例如“PapaJohn1”表示披萨外卖网站帐户)的密码。更好的方法是检查以确保用户选择的密码不是已被第三方泄露的密码之一。如上所述,大多数用户在多个网站使用相同的密码,如果一个网站的密码被泄露,可能会使您的公司(和用户帐户)面临风险。不易破解的简单密码的另一个问题是:资源有限的攻击者可以使用此类密码更快地破解加密算法。令人遗憾的是,一些世界上最受欢迎的在线服务仍在使用过时甚至不安全的加密来“保护”密码。虽然这些加密算法可以防止低级攻击者通过读取用户密码来访问数据库,但对于更熟练的攻击者来说,这只是一个有趣的“拼图游戏”。除了使用字典来防止用户设置重复、简单或其他容易猜到的密码外,企业还需要了解他们使用的哈希算法的局限性,并建议用户设置更复杂的密码,例如数字和字母,甚至是易于记忆的密码。生成更复杂密码的短句。如上所述,当今的攻击者拥有使用常用密码列表发起攻击的工具,甚至可以自动尝试常用密码的变体。实际上,这意味着即使用户在密码中添加一串数字或将字母“o”替换为数字“0”,甚至可以在几秒钟内破解像MD5这样古老(但仍被广泛使用)的哈希算法。换人,也于事无补。帮助用户创建更长、更复杂的密码是增加暴力破解密码难度的好方法,使用强大的哈希算法(如bcrypt)使密码更难被暴力破解。通过将像bcrypt这样的算法与像短句这样的长密码配对(NIST建议使用符号和空格,64位长密码),你可以真正有效地遏制暴力破解(在这种情况下可能需要几十年的时间)。保护帐户免受此类攻击的一个好方法是确保密码没有“已经”被泄露。攻击者可能已经掌握了数十亿个密码,这些密码可能是从Clearnet(“暗网”的对应物)中窃取的,甚至被编译成用户名和相应密码的“组合列表”,这些东西正在黑市上出售价格非常便宜。幸运的是,白帽黑客和安全专家也在收集这些密码以追踪不再安全的凭据。NIST在新指南中阐明,根据已知的泄露凭据检查用户密码是测试密码安全性的有效做法。更重要的是,通过这样的检查,企业可以帮助客户和员工更全面地了解他们所面临的安全状况,而用户安全的提升也有助于大幅提升整个网络的安全性。已知的泄露凭据列表不仅可以免费获得,而且即使通过这样一个静态列表,也可以实现比过去简单地要求密码复杂性时更高程度的密码安全保护。但是,静态列表会逐渐过时,因此IT团队需要定期更新。从长远来看,拥有一个持续更新的已知被盗密码数据库已成为更好的策略。但是企业不需要手动添加到这样的列表中;IT团队可以放心,他们会定期检查新密码和现有密码,而且这些服务通常包括自动缓解工具,以提醒需要更新密码的员工或用户。提醒。为什么这很重要许多人重复使用密码,因此上述检查对于企业来说是必要的。特别是对于员工每天使用的应用程序,简单或重复使用的密码最有可能违反IT的密码安全要求,并且很可能在企业网络中至少有一个帐户已经在使用重复的密码。更糟糕的是,员工用来满足IT要求的“智能”方式也可能成为攻击者试图潜入受保护网络的最简单方式。对企业邮件系统的账户目录使用NIST密码安全检查机制,有助于确保员工不会重复使用泄露的密码,可以更好地保护业务数据,也可以保证密码不会过于简单易被猜到。或其他直接使用泄露密码的变体。将这样的措施与强大的哈希算法相结合,这样一个简单、自动的机制不仅足以防止账户被盗用,而且有助于帮助用户养成更好的密码习惯,让这样的密码在面对技能不佳的情况下也能使用。然后更熟练的攻击者施加更大的保护。
