译者 | 布加迪
审校 | 孙淑娟
密码是用于确保安全访问系统的最基本、最常用的身份验证方法。但是为众多平台使用和维护安全密码的过程可能相当乏味。据Verizon发布的《2020年数据泄露调查报告》显示,薄弱、重复使用的密码导致了81%的数据泄露事件。除此之外,还有更多与密码有关的漏洞和风险,如今密码成了一种越来越不合适的身份验证方案。
一、密码的三大问题
人类行为和密码——许多人图方便而不是图安全。使用简单、易记的密码,或者在所有不同的平台上使用同一个密码是很常见的做法。此外,共享密码和使用不安全的方法存储密码是导致大多数密码攻击的主要原因。做好适当安全的密码保护既是您个人的责任,也是贵组织的责任。
复杂的管理——许多组织设置的密码策略要求员工经常更改密码、记住多个复杂的密码,并在忘记密码时重新设置密码,这一切花费大量的时间和支持资源。对于员工来说,在处理密码时,其中许多程序效率低下、不方便且不现实。这也给IT部门带来了解决密码相关问题方面的巨大负担。同样,个人也为流行的网站和应用程序在密码方面的诸多要求而苦恼。
越来越多的密码泄露——据安全网站HackerNoon报道,1400万个密码中80%以上可以在短短20小时内被破解。如今攻击者拥有强大的工具和程序,可以专门破解密码。然后,所有泄露的密码都被发布在暗网上,用于撞库和密码喷洒等攻击。
二、密码攻击类型
密码攻击包括通过各种技术和攻击工具利用系统授权漏洞。威胁分子使用强大的攻击实现自动化,主要在短时间内大规模攻击特权帐户。作为一名安全专业人员,有必要了解一些最流行的攻击类型及其防御方法:
1、社会工程和人类发起的攻击
网络钓鱼攻击——这是最常见的社会工程密码攻击。它们使用各种方法引诱用户点击恶意链接。避免网络钓鱼攻击的一些最佳方法包括寻找可疑的电子邮件标题、主题、附件和链接。拼写错误、域名拼写混乱、伪造标志以及写得不好的电子邮件也表明来源可疑。
窃听和背后偷窥——窃听是指通过语音或数字手段泄露密码。您是否无意中偷听到有人在打电话时背诵机密信息?犯罪分子会利用这种粗心的行为,收集尽可能多的信息。遵循适当的安全做法以及良好的电话礼仪,可以防止您成为窃听的受害者。
背后偷窥指攻击者通过观察一个人在键盘上输入密码或PIN码来获取凭据。在偷手机之前,手机窃贼可能偷看您输入或者刷屏幕锁码,这让您的数据处于危险之中。对周围的人保持警惕,解锁设备时挡住屏幕可以保护您的信息。
2、猜测密码的攻击
字典攻击——使用预定义的单词列表,单词来自以前泄密事件中的密码。字典攻击中使用的攻击工具可以为密码添加更多的后缀和前缀,猜测攻击目标的特征,进一步增加了破解密码的机会。
蛮力攻击——一种尝试所有可能的密码组合的试错方法。抵御蛮力破解的最好方法是使用长密码,而不是标准密码。
密码喷洒攻击——威胁分子尝试使用同一个密码访问多个帐户,然后再尝试另一个密码。这种攻击不会引起任何怀疑,因为威胁分子将攻击分散在多个帐户当中,而不是针对单个帐户进行多次攻击。这种攻击在管理员未能更改默认密码的网站和平台上最为成功。
三、如何防止密码攻击?
组织可以为密码管理设置强大的安全协议和机制,以应对现代威胁和攻击。个人也可以养成良好的密码保护习惯。据NIST指南显示,建议使用长度为8个至64个字符的密码和长密码短语。密码短语可以阻止蛮力攻击,它们并不与密码字典中的条目匹配,也不包含个人身份信息。使用密码管理软件以避免重复使用密码,只有在密码泄露或遗忘时才重置密码。
启用多因素身份验证(MFA)是对帐户的最佳保护。使用密码作为唯一的身份验证机制会带来巨大的安全风险。一次性密码(OTP)、硬件令牌和身份验证应用程序将提高您的个人安全性。
四、密码的未来
由于基于密码的攻击越来越多,未来很可能会使用无密码身份验证。无密码身份验证本质上更安全,因为没有传统意义上的密码被泄露。最常见的无密码身份验证方法是生物特征识别、OTP码、推送通知和神奇链接。神奇链接是一种方法,它不向用户请求密码,而是创建支持登录的唯一链接,并通过电子邮件发送。
五、结论
密码已经成为一种过时的身份验证方法,容易受到许多威胁和攻击。仅使用基于密码的身份验证方法现在被认为不太安全,因为存在无数可用的密码攻击。虽然组织有特殊的工具来执行良好的身份验证策略,但个人也应该提高帐户安全性。采用MFA和基于无密码的身份验证方法是一种简单又免费的方法,可以立即保护您的帐户。
原文链接:https://www.tripwire.com/state-of-security/are-passwords-really-safe-we-think
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/145789.html<
