根据Verizon发布的《2020年数据泄露调查报告》,超过80%的数据泄露是由黑客使用被盗或弱密码造成的。密码安全对于企业、组织和个人用户来说非常重要。然而,很多人并不重视密码安全,甚至不知道什么是强密码。那么,什么是密码安全?强密码和弱密码是什么样的?如果您的组织没有强密码,会有哪些风险?除了创建强密码之外,还有其他方法可以解决密码安全问题吗?接下来,我们将一一解答,并在最后给出一些快速提高密码安全性的小技巧。什么是密码安全?密码安全是使密码和身份验证方法更安全的策略、过程和技术的总称。确保密码安全的关键是知道如何保护它们。密码本身是存储秘密的验证器。也就是说,只有您自己知道这个密码,并用这个密码向第三方验证您的身份。其他验证器包括加密设备、一次性密码或PIN以及钥匙访问卡。什么样的密码安全性高?参考下面的要求来测试吧!它可以防止未经授权的用户访问受保护的系统、信息和数据。密码是否复杂,不易被他人猜测或破解。密码容易记住吗?是否与他人共享密码。是否以安全方式存储以防止密码泄露。虽然直到20世纪60年代密码才被引入,但对于组织和用户来说,密码已经成为保障网络和信息安全最有效、最经济的关键核心技术。但密码安全不仅仅是帐户密码本身,它还涉及保护这些密码及其提供的访问权限的政策、程序、技术和培训。例如:创建和执行计算机使用策略和/或BYOD策略,指定可以在哪些设备上访问哪些帐户,需要使用VPN或连接到公共Wi-Fi等进行远程工作。创建和执行密码策略以解决特定密码创建问题、存储和维护需求。为员工提供培训和指导,帮助他们了解建立安全密码和遵循密码管理最佳实践的重要性。为什么密码安全很重要?根据IDC报告,在2019年的IT和非IT调查中,62%的受访者表示人为错误是企业面临的主要网络威胁。此类人为错误大多是企业普通员工创建简单密码和共享密码造成的,而不是那些具有特殊访问权限的高管或员工造成的。关于密码安全的重要性还需要考虑哪些其他因素?合规性要求合规性是所有组织都应该关注的一个方面。有各种法规和监管机构要求组织满足特定的身份验证和数据保护标准,还有其他组织制定标准并提供公司和其他组织可以严格遵守的指南。示例:美国国家标准与技术研究院(NIST)是一个全球性的非监管机构,主要负责监管美国联邦政府附属机构和组织。多年来,NIST一直致力于在线身份验证和密码安全研究,并制定了一套指南来加强密码安全。它不仅是FBI、USDA和NSA等政府机构必须遵循的准则,而且也是许多公司必须遵循的准则。密码准则。支付卡行业数据安全标准(PCIDSS)是全球最严格、最高级别的金融机构安全认证标准,适用于所有参与支付卡处理的实体,包括商户、处理商、购买者、发卡机构和服务提供商等。存储、处理或传输持卡人数据的其他实体。PCIDSS信息安全标准强调身份认证,要求进行密钥管理,并在数据传输过程中使用强大的加密和安全协议来保护数据。任何涉及处理支付卡相关数据的组织都必须遵守PCIDSS要求,如果不遵守,该组织将面临巨额罚款。欧盟通用数据保护条例(GDRP)虽然没有具体提及密码,但在第28条中规定,数据处理者必须提供相应的技术和措施来满足该条例的要求,确保数据主体的权利得到保护。第25条规定,决定处理哪些数据以及如何处理数据的控制者也必须实施此类保障措施,以保护数据主体的权利。这意味着任何涉及个人数据处理的组织都必须实施安全措施来保护他们处理的数据。使用强而独特的密码策略是目前最佳的安全措施。基于组织风险的考虑,我们前面提到不安全的密码和不良的密码管理习惯会增加组织遭受钓鱼攻击和数据泄露的风险。看看下面的案例就明白了。根据FBI网络犯罪投诉中心(IC3)2019年的一份报告,商业电子邮件泄露和电子邮件帐户泄露(BEC/EAC)犯罪造成的损失超过17亿美元。2020年7月,Twitter顶级认证用户帐户的泄露与凭证泄露有关。一名Twitter员工成为此次社会工程攻击的目标,攻击者使用该员工的凭据获取对Twitter内部系统的访问权限,入侵并破坏了130个用户帐户(包括ElonMusk、BarackObama、JoeBiden和BillGates),对用户进行诈骗与比特币的虚假承诺。该骗局使受害者损失了价值118,000美元的比特币。弱密码示例不安全的密码种类繁多,但很多都具有以下特征:包含常用词、输入习惯、对您很重要的人的姓名(如孩子或父母的姓名)、具有特殊含义的日期(如birthdaysoranniversaries)等等那么,最常用的弱密码有哪些呢?根据Cyber??News,以下是世界上最常用的10个密码:123456123456789qwerty密码12345qwerty1231q2w3e123456781111111234567890从哪里开始?首先,设置的密码要够长、够复杂、好记。一般要求至少有12个字符,使用大小写字母,并包含一些随机数和特殊符号。密码短语可以帮助您记住密码,或者您可以使用数字和符号代替字母来使其足够复杂,例如“House”代表“House”,“G@m3r”代表“Gamer”。其次,强制用户为每个帐户创建唯一的密码。如果用户尝试使用相同的字母、数字、字符创建新密码,则此凭据将被阻止通过。此外,将密码作为密码安全策略的一部分,用户必须为每个帐户创建唯一的密码,并且永远不要与其他任何人共享密码。此外,选择安全的密码存储方式,保护密码安全。在任何情况下都不应以纯文本形式存储密码,建议使用经过批准的密码管理器来确保所有密码的安全。存储加盐哈希值更安全,以防止暴力攻击和彩虹表攻击。显然,需要做大量工作才能确保高安全性密码验证。有没有一种方法可以让用户更轻松地保护凭据,并让企业IT团队更轻松地管理安全性?研究表明,简单方便的无密码身份验证可以有效地对齐用户和业务需求。无密码认证与传统的基于密码的认证过程相比,无密码认证更方便、更安全。目前,有两种方法可以进行无密码身份验证。一种选择是使用多因素身份验证(MFA),另一种是基于数字证书的身份验证或基于PKI的身份验证。多因素身份验证(MFA)多因素身份验证(MFA)是一种更安全的多层防御系统,需要您提供两种或多种类型的单独凭据:您知道的东西(例如密码或PIN)您知道的东西拥有(如移动应用程序、安全令牌或智能卡)你是谁(生物认证,如指纹识别、面部识别、视网膜扫描、语音识别)。基于数字证书的身份认证基于PKI的认证方式比传统的MFA方式更加安全。PKI作为网络安全的基础设施,是加密技术、系统、过程和策略的总称。基于证书的设备身份验证将PKI数字证书与信任模型(TPM)相结合,即在设备上安装数字证书,将组织或个人的身份绑定到设备,从而提供客户端身份验证,让您的设备识别自己到服务器而不输入密码。基于PKI的无密码认证的优点如下:用户不再需要创建或记住复杂的密码,因为数字证书不需要密码来认证用户。不用担心密码存储方式错误带来的风险。不会成为网络钓鱼和其他凭据攻击的受害者。提高密码安全性的6个技巧总而言之,基于密码的身份验证不是一种放之四海而皆准的方法。在这里,提供一些小技巧,让您的密码更加安全有效。不要与他人分享您的登录信息。即使您小心地创建了一个强而复杂的密码,如果您与他人共享,这并不意味着您的登录凭据是安全的。不要在多个帐户中重复使用相同的密码。大多数用户常犯的一个错误是在多个帐户中重复使用相同的密码。如果该密码泄露、被钓鱼或被盗,则意味着使用该密码的其他帐户也面临风险。使用长密码短语而不是复杂且难以记忆的密码。长密码比复杂密码更容易让用户记住。此类密码对于不依赖密码管理器的用户更有效。防止用户使用违规列表中的密码。请防止用户使用可在公共数据泄露列表中找到的凭据密码!确保组织正确存储密码哈希。请不要直接以明文格式存储密码,而是存储密码哈希值,并使用哈希加盐的方法对密码进行加密,这样不仅可以使密码抗暴力破解,还可以防止彩虹表攻击。选择基于数字证书的身份认证方式,彻底摆脱繁琐和不安全的密码。
