在当今的数字世界中,密码安全比以往任何时候都更加重要。虽然生物识别技术、一次性密码(OTP)和其他新兴的身份验证形式经常被吹捧为传统密码的替代品,但替代传统密码在今天仍然只是营销炒作。但是,密码不会很快消失,这并不意味着企业现在不需要对其密码安全方法进行现代化改造。?凭证被盗危机正如微软安全团队所指出的,“只需要一个凭证被盗就可以触发数据泄露。”结合持续存在的密码重用问题,被盗密码会对企业安全产生重大而长期的影响。事实上,弗吉尼亚理工大学的研究人员发现,超过70%的用户在密码泄露后长达一年的时间里在其他帐户上使用被盗密码;40%的人重复使用三年前泄露的密码。密码。虽然凭据被盗的问题对大多数IT主管来说并不是什么新鲜事,但他们可能会惊讶地发现,尝试自行解决问题往往会导致更多的安全漏洞。有许多削弱密码安全性的传统方法,但包括以下内容:加强密码复杂性定期重置密码限制密码长度和字符使用需要特殊字符?现代密码安全方法考虑了与这些传统方法相关的漏洞美国国家标准研究院和技术(NIST)修订了其密码安全建议,以鼓励用户采用更现代的密码安全最佳实践。NIST更新其密码安全建议的根源在于,它认识到当用户被迫创建满足复杂性要求的密码或被迫定期重置密码时,人为因素往往会导致安全漏洞。例如,如果要求密码包含特殊字符和数字,用户可能会选择最基本的形式“P@ssword1”,这显然很常见,很容易被黑客利用。另一种可能对密码安全性产生负面影响的传统方法是禁止在密码中使用空格或各种特殊字符的策略。毕竟,如果您希望用户创建易于记忆的独特、强密码,为什么要对其形状施加如此多的限制?此外,NIST现在建议取消定期密码重置,并建议公司仅请求更改密码。?凭据筛选解决方案的作用那么,公司如何监控密码被盗的迹象呢?NIST的另一项建议可能适用:企业不断根据常被盗凭据黑名单筛选密码。这听起来可能很简单,但在当今严峻的威胁形势下,选择正确的被盗凭证筛选解决方案至关重要。?动态解决方案必不可少网上有很多静态黑名单,有些公司甚至会编制自己的静态黑名单。但现在,随着数据泄露随时发生,新的被盗凭据充斥着暗网,黑客可以继续利用暗网发起攻击。现有的黑名单,或仅每年定期更新的黑名单,无法应对这种高风险环境。Enzoic的动态解决方案根据包含数十亿个被盗密码的专有数据库筛选凭据。数据库中被盗的密码要么来自数据泄露,要么来自破解的词典。由于数据库每天自动更新多次,因此公司可以放心,他们的密码安全与最新的数据泄露情报保持同步,而无需额外的IT工作。现代密码安全方法的一个重要部分还包括在创建密码时筛选凭据并在创建后持续监控其完整性。如果以前安全的密码后来遭到泄露,公司可以自动执行适当的操作,例如在下次登录时强制重置密码,或者在IT调查之前完全拒绝访问。?任重而道远虽然NIST准则通常会为整个安全行业提供最佳实践建议,但最终还是要由安全主管来决定什么最适合公司的独特需求,并相应地调整公司政策。根据您的行业、公司规模和其他隐私问题,某些建议可能不适合您的公司。但由于每天都有大量网络攻击没有减弱的迹象,通常是由于密码泄露,很难想象一家公司不会从凭证筛选提供的额外安全层中受益。
