翻译|布加迪评论家|孙淑娟密码是最基本和最常用的身份验证方法,用于确保安全访问系统。但是为众多平台使用和维护安全密码的过程可能非常乏味。根据Verizon发布的《2020年数据泄露调查报告》,81%的数据泄露是由弱密码、重复使用的密码造成的。除此之外,还有更多与密码相关的漏洞和风险,如今密码已成为越来越不合适的身份验证方案。1.密码的三大问题人类行为和密码——许多人追求方便而不是安全。使用简单、易于记忆的密码或在所有不同平台上使用相同的密码是常见的做法。此外,共享密码和使用不安全的方法来存储密码是大多数密码攻击的主要原因。正确和安全的密码保护既是您个人的责任,也是您所在组织的责任。复杂的管理——许多组织设置了密码策略,要求员工经常更改密码、记住多个复杂密码并在忘记密码时重置密码,所有这些都需要花费大量时间和支持资源。在处理密码时,这些过程中有许多对员工来说效率低下、不方便且不切实际。这也给IT部门解决密码相关问题带来了巨大的负担。同样,个人也难以应对流行网站和应用程序的许多密码要求。越来越多的密码被泄露——根据安全网站HackerNoon的数据,1400万个密码中的80%以上可以在短短20小时内被破解。今天的攻击者拥有强大的工具和程序来破解密码。然后,所有泄露的密码都会发布在暗网上,以进行撞库和密码喷洒等攻击。2.密码攻击的类型密码攻击包括通过各种技术和攻击工具利用系统授权漏洞。威胁行为者正在自动执行强大的攻击,这些攻击会在短时间内大规模地针对特权帐户。作为一名安全专业人员,了解一些最流行的攻击类型以及如何防御它们是值得的:1.社会工程和人为发起的攻击网络钓鱼攻击–这是最常见的社会工程密码攻击。他们使用各种方法诱骗用户点击恶意链接。避免网络钓鱼攻击的一些最佳方法包括查找可疑的电子邮件标头、主题、附件和链接。拼写错误、拼写错误的域名、虚假徽标和写得不好的电子邮件也表明来源可疑。窃听和偷看-窃听是通过语音或数字方式泄露密码。您是否曾无意中听到有人在电话中背诵机密信息?犯罪分子利用这种粗心大意来收集尽可能多的信息。遵循适当的安全措施以及良好的电话礼仪,可以防止您成为窃听的受害者。当攻击者通过观察一个人在键盘上输入密码或PIN来获取凭据时,就会发生幕后偷窥。手机窃贼可以在窃取您的手机之前观看您键入或滑动屏幕锁定代码,从而使您的数据处于危险之中。对周围的人保持警惕,并在解锁设备时遮住屏幕以保护您的信息。2.猜测密码的攻击字典攻击-使用先前泄露的密码中的预定义单词列表。字典攻击中使用的攻击工具可以为密码添加更多的后缀和前缀,猜测攻击目标的特征,进一步增加破解密码的几率。蛮力攻击-尝试所有可能的密码组合的试错法。防止暴力破解的最佳方法是使用长密码而不是标准密码。密码喷洒攻击——威胁行为者尝试使用相同的密码访问多个帐户,然后尝试使用另一个密码。这种类型的攻击不会引起任何怀疑,因为威胁行为者将攻击传播到多个帐户,而不是多次针对单个帐户。这种攻击在管理员未能更改默认密码的网站和平台上最为成功。3.如何防止密码攻击?组织可以为密码管理设置强大的安全协议和机制,以应对现代威胁和攻击。个人也可以养成良好的密码保护习惯。根据NIST指南,建议使用长度在8到64个字符之间的密码和长密码。密码短语可防止暴力攻击,它们与密码字典中的条目不匹配,并且不包含个人身份信息。使用密码管理软件避免重复使用密码,只有在密码泄露或忘记时才重设密码。启用多重身份验证(MFA)是对您帐户的最佳保护。使用密码作为唯一的身份验证机制会带来巨大的安全风险。一次性密码(OTP)、硬件令牌和身份验证应用程序将提高您的个人安全性。4.密码的未来由于基于密码的攻击越来越多,未来很可能会使用无密码身份验证。无密码身份验证本质上更安全,因为在传统意义上没有密码被泄露。最常见的无密码身份验证方法是生物识别、OTP代码、推送通知和魔术链接。魔术链接是一种方法,它不要求用户输入密码,而是创建一个允许登录的唯一链接并通过电子邮件发送。五、结论密码已成为一种过时的身份验证方法,并且容易受到许多威胁和攻击。由于存在无数的密码攻击,现在仅使用基于密码的身份验证方法被认为不太安全。虽然组织有特殊工具来实施良好的身份验证策略,但个人也应该提高帐户安全性。使用MFA和基于无密码的身份验证方法是一种简单且免费的方式,可以立即保护您的帐户。原文链接:https://www.tripwire.com/state-of-security/are-passwords-really-safe-we-think
