密码安全对组织至关重要。访问凭据(包括密码)是进入您网络的门户。然而,密码仍然是一个安全热点。员工往往是凭证失败的薄弱环节。然而,这可能是由于缺乏对威胁行为者如何实际获取密码信息的认识。一旦这些关于密码的迷思受到挑战,组织就可以改进围绕密码卫生的安全意识培训。误区1:永远不要写下您的密码事实:几十年来,关于密码安全的最常见建议是永远不要写下您的密码。虽然您不想将密码贴在计算机屏幕上并在社交媒体上分享照片,但可以将其写下来并存放在安全的地方。威胁行为者使用更复杂的方法,例如键盘记录或密码暴力攻击。需要记住的是,大多数网络罪犯都希望尽可能轻松地访问尽可能多的系统。在本地级别一次输入一个密码对他们来说并不重要。误区2:使用SMS作为多因素身份验证(MFA)安全是最好的事实:使用SMS作为MFA对大多数人来说无疑是最简单的方法,但这并不是保护密码安全的最佳方法。一种新的攻击媒介是您的手机号码,威胁行为者通过SIM卡交换窃取该号码。想要交换SIM卡的攻击者会联系您的手机提供商并假装是您。然后,您的号码会链接到坏人使用的SIM卡。然后,他们将可以访问任何发送到您手机的MFA,以及您手机上的任何个人身份信息。其他MFA选项(如生物识别或身份验证器)是更好的选择。误区3:我不需要密码安全提示;我的密码是唯一且安全的事实:有数十亿个密码,任何密码都不可能真正唯一。大多数用户通过改变字母大小写或添加符号来创建“唯一”密码,他们只有在得知“旧”密码已被破解后才会这样做。威胁行为者使用密码喷射等技术尝试数百万个常用密码来访问网络。虽然您的密码可能确实是唯一的并且难以破解,但只需要一个错误的密码就可以访问整个系统。越多的用户知道威胁者是如何获得他们的密码的,这对提高密码安全性应该有很大的帮助。
