信息化觀察網(wǎng)

近年來，云計算發(fā)展十分火爆，成為企業(yè)們關注的熱點。如今，越來越多的企業(yè)開始采用云計算來管理公司的業(yè)務，然而，大量的云服務和應用也帶來了許多需要記住的，用以連接和使用這些云服務的密碼。密碼的設置是為了更好的保護企業(yè)信息的安全，但有些密碼設置過于簡單，很容易被破解，因此弱密碼對于依靠云服務的企業(yè)來說是一種威脅。

有這么多可以通過某種憑證，例如一個密碼、一個PKI密鑰或別的什么方式來訪問的云服務，自然也讓攻擊者有了很多的機會來獲取云服務的訪問。在大多數(shù)情況下，只要提供正確的密碼就可以從世界任何地方，通過互聯(lián)網(wǎng)來訪問云服務。這就是為什么他們是單點故障；弱的云密碼可以被黑客輕易取得來獲得對云服務的訪問。

要防范弱密碼的問題，我們在設置或更改密碼時使用最佳的密碼安全措施是非常重要的，這包括：

初始密碼：如果密碼是由第三方設定為一個初始的默認值，請重置它，這樣它就不會被存儲在歷史或緩存的某處，導致整體安全性降低。

共享密碼：設定共享密碼時，請選擇一個沒有在其他任何地方使用的密碼。如果你在另一個服務也使用相同的密碼，攻擊者可以同時獲得兩個云服務的訪問。

密碼有效時間：假定攻擊者已經(jīng)破解了密碼，并可以訪問云服務，那么每90天修改一次密碼就非常關鍵。這種做法有助于防止攻擊者進一步取得認證并竊取更多的敏感信息。

密碼最短長度：密碼長度應至少8位，雖然我們通常建議更長的密碼。為了安全起見，造一個句子來作為你的密碼。

密碼強度：密碼應該同時使用小寫和大寫字母，數(shù)字和特殊字符。這確保攻擊者在暴力破解密碼時必須通過更多數(shù)量的組合才能成功。

密碼歷史：保存并使用密碼的歷史版本，這讓系統(tǒng)能夠比較當前密碼與歷史密碼并確定有些密碼是否會過于相似。如果過于相似的話，應該拒絕本次密碼更改。

我們的日常生活中有那么多使用和管理的密碼，要全部記住這些密碼幾乎是不可能的。人類不擅長記住一大組的隨機密碼，而只能回憶起少數(shù)幾個。這就是為什么我們必須尋找一個替代的解決方案，如密碼管理器。

密碼管理器是運行在一個系統(tǒng)上的程序，負責將所有的密碼加密并存儲到硬盤上。每當用戶希望獲取密碼時，他/她必須提供主密鑰，所有其他密碼都是通過該主密鑰進行加密的。這允許用戶可以獲得一個我們可以用來登錄云服務的密碼的明文版本。通常，該密碼存儲在剪貼板里，可以被復制粘貼到密碼的輸入框中。有很多作為獨立的程序來使用的針對不同操作系統(tǒng)的密碼管理器。一些密碼管理器也會以不同的Web瀏覽器插件的形式出現(xiàn)。一些開源的密碼管理包括Gpass、KeePass、LastPass、Revelation、Gorilla、KeePassX和Pass。

每個人每天都必須使用和管理許多的密碼。許多這些密碼都是用于云服務認證，這使得它們對于云安全來說非常重要。為了恰當?shù)谋Ｗo自己不使用不安全的密碼，我們必須選擇強的長的和隨機的密碼，并且應存放到密碼管理器中。

通過使用密碼管理器，我們可以遵照最佳的安全指導準則來創(chuàng)建各種強密碼，而無需記住所有這些密碼。密碼管理器需要一個主密碼來解密其他的密碼，以獲得云服務的認證。因此，我們只需要記住一個主密碼從而可以獲得對剩下的密碼的訪問。通過使用密碼管理器，我們不必記住密碼管理器中的任何密碼，但仍可以享受密碼的安全益處。

（原標題：避免因弱密碼帶來的云端風險）