密码安全那些事儿

据Verizon 发布的《2020年数据泄露调查报告》显示，超过80%的数据泄露都是黑客利用被盗密码或弱密码导致的。密码安全对于企业，组织和个人用户来说都是非常重要的。但是，很多人并不重视密码安全，甚至不知道什么是强密码。那么，什么是密码安全?强密码和弱密码是什么样的?如果您的组织没有高安全性密码，会有哪些风险?除了创建强密码外，还有其他方式解决密码安全问题吗?

接下来，我们将一一解答，并在最后给出一些快速提高密码安全的小窍门。

[[404732]]

什么是密码安全?

密码安全是使密码和身份验证方法更安全的策略、流程和技术的统称，要让密码安全关键是要知道如何保护密码。密码本身是一种存储秘密的身份验证器。也就是说只有您知道这个密码，并用此密码向第三方验证自己身份。其他身份验证器还包括加密设备、一次性密码或PIN，以及密钥访问卡。

什么样的密码才算是高安全性的呢?参考下方要求检测一下吧!

• 能防止未经授权的用户访问受保护的系统、信息和数据。
• 密码是否复杂的让别人难以猜到或破解。
• 于您而言，密码是否容易记住。
• 是否将密码与他人分享。
• 是否以安全的方式存储，防止密码泄露。

虽然密码直到20世纪60年代才被引入，但对于组织和用户来说，密码已经成为保障网络与信息安全最有效、最经济的关键核心技术。但密码安全对账户而言不仅仅是密码本身，它还涉及保护这些密码及其提供的访问权限的政策、程序、技术和培训。例如：

• 创建和执行计算机使用策略和/或BYOD策略，明确指出哪些账户可以在哪些设备访问，要求使用虚拟专用网远程工作或连接到公共Wi-Fi等。
• 创建并执行密码策略，以解决特定的密码创建、存储和维护需求。
• 为员工提供培训和指导，以帮助他们了解建立安全密码和遵循密码管理最佳方法的重要性。

为什么密码安全很重要?

据IDC的一份报告显示，在2019年的IT和非IT调查受访者中，有62%的人表示，人为错误是企业业务面临的主要网络威胁。这种人为错误主要是源于企业的普通员工创建简单密码和共享密码导致的，而不是那些高管或拥有特殊访问权限的员工。

关于密码安全的重要性，还有哪些因素需要考虑?

法规合规性要求

遵从法规的合规性是所有组织都应该关注的一个方面。有多种法规和监管机构要求组织满足身份认证和数据保护的特定标准，也有其他组织制定标准并提供指导使公司和其他组织可以严格遵从这些标准。例如：

国家标准技术研究院 (NIST) 是一个全球性的非监管机构，主要负责监管美国联邦政府附属机构和组织。多年来，NIST一直致力于在线身份验证和密码安全研究，并制定了一套加强密码安全性的准则，它不仅仅是FBI，USDA和NSA等政府机构必须遵守的准则，也成为了很多企业遵循的密码指南。

支付卡行业数据安全标准(PCI DSS)是全球最严格、级别最高的金融机构安全认证标准，适用于所有涉及支付卡处理的实体，包括商户、处理机构、购买者、发行商和服务提供商及储存、处理或传输持卡人资料的所有其他实体。PCI DSS信息安全标准中强调身份认证，并要求进行密钥管理，在数据传输过程中使用强效加密法和安全协议来保护数据。凡是涉及处理支付卡相关数据的组织都必须要遵守PCI DSS要求，如不遵从，那么该组织将会面临巨额罚款。

欧盟的通用数据保护条例(GDRP)虽没有特别提及密码，但是在第28条中指出，数据处理者必须提供相应的技术和措施以满足本条例要求，确保数据主体权利得以安全保护。第25条规定，决定处理哪些数据以及如何处理数据的控制者也必须执行此类保护措施，以保护数据主体的权利。这就意味着凡是参与涉及个人数据处理的组织都必须采取安全措施来保护他们处理的数据。目前，使用强而独特的密码策略是安全措施中的最佳做法。

基于组织风险考虑

我们前面提到过，不安全的密码和不良的密码管理习惯会给组织增加钓鱼攻击和数据泄露的风险。看看下面的几个案例就明白了。

美国联邦调查局网络犯罪投诉中心(IC3)在2019年的报告中称，商业电子邮件泄露和电子邮件账户泄露(BEC/EAC)犯罪造成了超过17亿美元的损失。

[[404733]]

2020年7月，Twitter顶级认证用户账户的泄露与凭证泄露有关。一名Twitter员工成为了这场社交工程攻击的目标，攻击者使用该员工的凭证访问Twitter内部系统，攻击和破坏130个用户账户(包括伊隆·马斯克、巴拉克·奥巴马、乔·拜登和比尔·盖茨等名人账户)，用比特币的虚假承诺欺骗用户。此次诈骗给受害者造成价值11.8万美元的比特币损失。

弱密码样例

不安全的密码各式各样，但是很多都具备以下特点：包含常用的单词，打字习惯，于自己而言非常重要的人的名字(如孩子或父母的名字)，有特殊意义的日期(如生日或纪念日)等等。

那么，最常用的弱密码是什么样的呢?根据CyberNews的报道，以下是全球最常用的10个密码：

• 123456
• 123456789
• qwerty
• password
• 12345
• qwerty123
• 1q2w3e
• 12345678
• 111111
• 1234567890

如何确保密码安全?

高安全性的密码需要从哪些方面着手呢?

首先，设置的密码足够长且复杂，还要易于记住。一般要求至少有12个字符，同时使用大写字母和小写字母，并包含一些随机数字和特殊符号。采用密码短语可以帮助您记住密码，也可以使用数字和符号代替字母使密码变得足够复杂，如“H0use”代替“House”，“G@m3r”代替“Gamer”。

其次，强制要求用户为每个账户创建唯一的密码。如果用户尝试创建具有相同字母、数字、字符的新密码，则阻止此凭证通过。另外，将密码设置为密码安全策略的一部分，即用户必须为每个帐户创建唯一的密码，并且切勿与其他任何人共享密码。

再者，选择安全的密码存储方式保护密码安全。在任何情况下不要使用纯文本格式存储密码，建议使用经过批准的密码管理器以确保所有密码的安全。更安全的做法是存储加盐的哈希值，以防止暴力攻击和彩虹表攻击。

显然，要确保高安全性密码认证需要做很多工作。那是否有一种可以帮助用户更容易确保凭证安全，也便于企业IT团队安全管理的方式吗?研究表明，通过简单便利的无密码身份认证的方法可以有效地协调用户和业务需求。

无密码身份认证

与传统的基于密码的身份验证流程相比，无密码身份认证(Passwordless Authentication)更方便，更安全。当前，有两种方法可以做无密码身份认证。一种选择是使用多因素身份认证(MFA)，另一种是基于数字证书的身份认证或基于PKI的身份认证。

多因素身份认证(MFA)

多因素身份认证(MFA)是一种更安全，多层次的防御系统，这种机制需要您提供两种或多种类型的独立凭证：

• 您知道的东西(如密码或PIN)
• 您拥有的东西(如手机APP，安全性令牌或者智能卡)
• 您是谁(生物识别验证，如指纹识别，面部识别，视网膜扫描，语音识别)。

基于数字证书的身份认证

基于PKI的认证方法比传统的MFA方法更安全。PKI作为网络安全的基础设施，是集加密技术、系统、流程和策略的统称。基于证书的设备身份认证将PKI数字证书与信任模型(TPM)结合使用，即在设备上安装一个数字证书，该证书将组织或个人的身份与该设备联系在一起，从而提供了客户端身份验证，让您的设备向服务器证实其身份，而不必输入密码。

基于PKI的无密码身份认证的优点如下：

• 用户不再需要创建或记住复杂的密码，因为数字证书无需密码来验证用户身份。
• 勿需担心错误的密码存储方法带来的风险。
• 不会成为网络钓鱼和其他凭证攻击的牺牲品。

[[404734]]

提高密码安全性的6个小窍门

综上所述，基于密码的身份验证并不是一种万能的方法。在这里，提供几个小窍门让您的密码安全更有效。

• 不要与他人共享您的登录信息。即使您精心创建了一个强而复杂的密码，也并不意味在与他人共享后还能确保您的登录凭证安全。
• 不要在多个帐户中重复使用相同的密码。大多数用户常犯的一个错误是在多个帐户之间重复使用相同密码。如果该密码遭到泄露、钓鱼攻击或被盗，那意味着使用该密码的其他帐户都将有同样的风险。
• 使用长的密码短语代替复杂又难记的密码。长的密码短语比复杂的密码更容易让用户记住。对于不依赖密码管理器的用户来说，这样的密码更有效。
• 阻止用户使用违规列表中的密码。请阻止用户使用可在公共数据泄露列表中能查到的凭证密码!
• 确保企业组织正确存储密码哈希值。请不要直接用明文格式存储密码，而应存储密码哈希值，并使用哈希加盐法为密码加密，这样不仅使密码可以抵抗暴力攻击，而且可以防止彩虹表攻击。
• 选择基于数字证书的身份认证方式，彻底摆脱繁琐而又不安全的密码。