密码真如我们所想象的那么安全吗?

​译者 | 布加迪

审校 | 孙淑娟

密码是用于确保安全访问系统的最基本、最常用的身份验证方法。但是为众多平台使用和维护安全密码的过程可能相当乏味。据Verizon发布的《2020年数据泄露调查报告》显示,薄弱、重复使用的密码导致了81%的数据泄露事件。除此之外,还有更多与密码有关的漏洞和风险,如今密码成了一种越来越不合适的身份验证方案。

一、密码的三大问题

人类行为和密码——许多人图方便而不是图安全。使用简单、易记的密码,或者在所有不同的平台上使用同一个密码是很常见的做法。此外,共享密码和使用不安全的方法存储密码是导致大多数密码攻击的主要原因。做好适当安全的密码保护既是您个人的责任,也是贵组织的责任。

复杂的管理——许多组织设置的密码策略要求员工经常更改密码、记住多个复杂的密码,并在忘记密码时重新设置密码,这一切花费大量的时间和支持资源。对于员工来说,在处理密码时,其中许多程序效率低下、不方便且不现实。这也给IT部门带来了解决密码相关问题方面的巨大负担。同样,个人也为流行的网站和应用程序在密码方面的诸多要求而苦恼。

越来越多的密码泄露——据安全网站HackerNoon报道,1400万个密码中80%以上可以在短短20小时内被破解。如今攻击者拥有强大的工具和程序,可以专门破解密码。然后,所有泄露的密码都被发布在暗网上,用于撞库和密码喷洒等攻击。

二、密码攻击类型

密码攻击包括通过各种技术和攻击工具利用系统授权漏洞。威胁分子使用强大的攻击实现自动化,主要在短时间内大规模攻击特权帐户。作为一名安全专业人员,有必要了解一些最流行的攻击类型及其防御方法:

1、社会工程和人类发起的攻击

网络钓鱼攻击——这是最常见的社会工程密码攻击。它们使用各种方法引诱用户点击恶意链接。避免网络钓鱼攻击的一些最佳方法包括寻找可疑的电子邮件标题、主题、附件和链接。拼写错误、域名拼写混乱、伪造标志以及写得不好的电子邮件也表明来源可疑。

窃听和背后偷窥——窃听是指通过语音或数字手段泄露密码。您是否无意中偷听到有人在打电话时背诵机密信息?犯罪分子会利用这种粗心的行为,收集尽可能多的信息。遵循适当的安全做法以及良好的电话礼仪,可以防止您成为窃听的受害者。

背后偷窥指攻击者通过观察一个人在键盘上输入密码或PIN码来获取凭据。在偷手机之前,手机窃贼可能偷看您输入或者刷屏幕锁码,这让您的数据处于危险之中。对周围的人保持警惕,解锁设备时挡住屏幕可以保护您的信息。

2、猜测密码的攻击

字典攻击——使用预定义的单词列表,单词来自以前泄密事件中的密码。字典攻击中使用的攻击工具可以为密码添加更多的后缀和前缀,猜测攻击目标的特征,进一步增加了破解密码的机会。

蛮力攻击——一种尝试所有可能的密码组合的试错方法。抵御蛮力破解的最好方法是使用长密码,而不是标准密码。

密码喷洒攻击——威胁分子尝试使用同一个密码访问多个帐户,然后再尝试另一个密码。这种攻击不会引起任何怀疑,因为威胁分子将攻击分散在多个帐户当中,而不是针对单个帐户进行多次攻击。这种攻击在管理员未能更改默认密码的网站和平台上最为成功。

三、如何防止密码攻击?

组织可以为密码管理设置强大的安全协议和机制,以应对现代威胁和攻击。个人也可以养成良好的密码保护习惯。据NIST指南显示,建议使用长度为8个至64个字符的密码和长密码短语。密码短语可以阻止蛮力攻击,它们并不与密码字典中的条目匹配,也不包含个人身份信息。使用密码管理软件以避免重复使用密码,只有在密码泄露或遗忘时才重置密码。

启用多因素身份验证(MFA)是对帐户的最佳保护。使用密码作为唯一的身份验证机制会带来巨大的安全风险。一次性密码(OTP)、硬件令牌和身份验证应用程序将提高您的个人安全性。

四、密码的未来

由于基于密码的攻击越来越多,未来很可能会使用无密码身份验证。无密码身份验证本质上更安全,因为没有传统意义上的密码被泄露。最常见的无密码身份验证方法是生物特征识别、OTP码、推送通知和神奇链接。神奇链接是一种方法,它不向用户请求密码,而是创建支持登录的唯一链接,并通过电子邮件发送。

五、结论

密码已经成为一种过时的身份验证方法,容易受到许多威胁和攻击。仅使用基于密码的身份验证方法现在被认为不太安全,因为存在无数可用的密码攻击。虽然组织有特殊的工具来执行良好的身份验证策略,但个人也应该提高帐户安全性。采用MFA和基于无密码的身份验证方法是一种简单又免费的方法,可以立即保护您的帐户。

原文链接:https://www.tripwire.com/state-of-security/are-passwords-really-safe-we-think

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/145789.html<

(0)
管理的头像管理
上一篇2025-03-10 19:09
下一篇 2025-03-10 19:10

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注