信息化觀察網(wǎng)

據(jù)Verizon發(fā)布的《2020年數(shù)據(jù)泄露調(diào)查報(bào)告》顯示，超過80%的數(shù)據(jù)泄露都是黑客利用被盜密碼或弱密碼導(dǎo)致的。密碼安全對(duì)于企業(yè)，組織和個(gè)人用戶來說都是非常重要的。但是，很多人并不重視密碼安全，甚至不知道什么是強(qiáng)密碼。那么，什么是密碼安全？強(qiáng)密碼和弱密碼是什么樣的？如果您的組織沒有高安全性密碼，會(huì)有哪些風(fēng)險(xiǎn)?除了創(chuàng)建強(qiáng)密碼外，還有其他方式解決密碼安全問題嗎?

接下來，銳成信息將一一解答，并在最后給出一些快速提高密碼安全的小竅門。

01、什么是密碼安全？

密碼安全是使密碼和身份驗(yàn)證方法更安全的策略、流程和技術(shù)的統(tǒng)稱，要讓密碼安全關(guān)鍵是要知道如何保護(hù)密碼。密碼本身是一種存儲(chǔ)秘密的身份驗(yàn)證器。也就是說只有您知道這個(gè)密碼，并用此密碼向第三方驗(yàn)證自己身份。其他身份驗(yàn)證器還包括加密設(shè)備、一次性密碼或PIN，以及密鑰訪問卡。

什么樣的密碼才算是高安全性的呢？參考下方要求檢測(cè)一下吧！

能防止未經(jīng)授權(quán)的用戶訪問受保護(hù)的系統(tǒng)、信息和數(shù)據(jù)。

密碼是否復(fù)雜的讓別人難以猜到或破解。

于您而言，密碼是否容易記住。

是否將密碼與他人分享。

是否以安全的方式存儲(chǔ)，防止密碼泄露。

雖然密碼直到20世紀(jì)60年代才被引入，但對(duì)于組織和用戶來說，密碼已經(jīng)成為保障網(wǎng)絡(luò)與信息安全最有效、最經(jīng)濟(jì)的關(guān)鍵核心技術(shù)。但密碼安全對(duì)賬戶而言不僅僅是密碼本身，它還涉及保護(hù)這些密碼及其提供的訪問權(quán)限的政策、程序、技術(shù)和培訓(xùn)。例如:

創(chuàng)建和執(zhí)行計(jì)算機(jī)使用策略和/或BYOD策略，明確指出哪些賬戶可以在哪些設(shè)備上訪問，要求使用VPN遠(yuǎn)程工作或連接到公共Wi-Fi等。

創(chuàng)建并執(zhí)行密碼策略，以解決特定的密碼創(chuàng)建、存儲(chǔ)和維護(hù)需求。

為員工提供培訓(xùn)和指導(dǎo)，以幫助他們了解建立安全密碼和遵循密碼管理最佳方法的重要性。

02、為什么密碼安全很重要？

據(jù)IDC的一份報(bào)告顯示，在2019年的IT和非IT調(diào)查受訪者中，有62%的人表示，人為錯(cuò)誤是企業(yè)業(yè)務(wù)面臨的主要網(wǎng)絡(luò)威脅。這種人為錯(cuò)誤主要是源于企業(yè)的普通員工創(chuàng)建簡(jiǎn)單密碼和共享密碼導(dǎo)致的，而不是那些高管或擁有特殊訪問權(quán)限的員工。

關(guān)于密碼安全的重要性，還有哪些因素需要考慮？

法規(guī)合規(guī)性要求

遵從法規(guī)的合規(guī)性是所有組織都應(yīng)該關(guān)注的一個(gè)方面。有多種法規(guī)和監(jiān)管機(jī)構(gòu)要求組織滿足身份認(rèn)證和數(shù)據(jù)保護(hù)的特定標(biāo)準(zhǔn)，也有其他組織制定標(biāo)準(zhǔn)并提供指導(dǎo)使公司和其他組織可以嚴(yán)格遵從這些標(biāo)準(zhǔn)。例如：

國家標(biāo)準(zhǔn)技術(shù)研究院(NIST)是一個(gè)全球性的非監(jiān)管機(jī)構(gòu)，主要負(fù)責(zé)監(jiān)管美國聯(lián)邦政府附屬機(jī)構(gòu)和組織。多年來，NIST一直致力于在線身份驗(yàn)證和密碼安全研究，并制定了一套加強(qiáng)密碼安全性的準(zhǔn)則，它不僅僅是FBI，USDA和NSA等政府機(jī)構(gòu)必須遵守的準(zhǔn)則，也成為了很多企業(yè)遵循的密碼指南。

支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)是全球最嚴(yán)格、級(jí)別最高的金融機(jī)構(gòu)安全認(rèn)證標(biāo)準(zhǔn)，適用于所有涉及支付卡處理的實(shí)體，包括商戶、處理機(jī)構(gòu)、購買者、發(fā)行商和服務(wù)提供商及儲(chǔ)存、處理或傳輸持卡人資料的所有其他實(shí)體。PCI DSS信息安全標(biāo)準(zhǔn)中強(qiáng)調(diào)身份認(rèn)證，并要求進(jìn)行密鑰管理，在數(shù)據(jù)傳輸過程中使用強(qiáng)效加密法和安全協(xié)議來保護(hù)數(shù)據(jù)。凡是涉及處理支付卡相關(guān)數(shù)據(jù)的組織都必須要遵守PCI DSS要求，如不遵從，那么該組織將會(huì)面臨巨額罰款。

歐盟的通用數(shù)據(jù)保護(hù)條例（GDRP）雖沒有特別提及密碼，但是在第28條中指出，數(shù)據(jù)處理者必須提供相應(yīng)的技術(shù)和措施以滿足本條例要求，確保數(shù)據(jù)主體權(quán)利得以安全保護(hù)。第25條規(guī)定，決定處理哪些數(shù)據(jù)以及如何處理數(shù)據(jù)的控制者也必須執(zhí)行此類保護(hù)措施，以保護(hù)數(shù)據(jù)主體的權(quán)利。這就意味著凡是參與涉及個(gè)人數(shù)據(jù)處理的組織都必須采取安全措施來保護(hù)他們處理的數(shù)據(jù)。目前，使用強(qiáng)而獨(dú)特的密碼策略是安全措施中的最佳做法。

基于組織風(fēng)險(xiǎn)考慮

我們前面提到過，不安全的密碼和不良的密碼管理習(xí)慣會(huì)給組織增加釣魚攻擊和數(shù)據(jù)泄露的風(fēng)險(xiǎn)?？纯聪旅娴膸讉€(gè)案例就明白了。

美國聯(lián)邦調(diào)查局網(wǎng)絡(luò)犯罪投訴中心(IC3)在2019年的報(bào)告中稱，商業(yè)電子郵件泄露和電子郵件賬戶泄露（BEC/EAC）犯罪造成了超過17億美元的損失。為了避免類似的情況發(fā)生，銳成信息強(qiáng)烈建議您采用郵件安全解決方案，防止郵件信息泄露。

2020年7月，Twitter頂級(jí)認(rèn)證用戶賬戶的泄露與憑證泄露有關(guān)。一名Twitter員工成為了這場(chǎng)社交工程攻擊的目標(biāo)，攻擊者使用該員工的憑證訪問Twitter內(nèi)部系統(tǒng)，攻擊和破壞130個(gè)用戶賬戶(包括伊隆·馬斯克、巴拉克·奧巴馬、喬·拜登和比爾·蓋茨等名人賬戶)，用比特幣的虛假承諾欺騙用戶。此次詐騙給受害者造成價(jià)值11.8萬美元的比特幣損失。

03、弱密碼樣例

不安全的密碼各式各樣，但是很多都具備以下特點(diǎn)：包含常用的單詞，打字習(xí)慣，于自己而言非常重要的人的名字(如孩子或父母的名字)，有特殊意義的日期(如生日或紀(jì)念日)等等。

那么，最常用的弱密碼是什么樣的呢?根據(jù)CyberNews的報(bào)道，以下是全球最常用的10個(gè)密碼：

1.123456

2.123456789

3.qwerty

4.password

5.12345

6.qwerty123

7.1q2w3e

8.12345678

9.111111

10.1234567890

04、如何確保密碼安全？

高安全性的密碼需要從哪些方面著手呢？

首先，設(shè)置的密碼足夠長(zhǎng)且復(fù)雜，還要易于記住。一般要求至少有12個(gè)字符，同時(shí)使用大寫字母和小寫字母，并包含一些隨機(jī)數(shù)字和特殊符號(hào)。采用密碼短語可以幫助您記住密碼，也可以使用數(shù)字和符號(hào)代替字母使密碼變得足夠復(fù)雜，如“H0use”代替“House”，“G m3r”代替“Gamer”。

其次，強(qiáng)制要求用戶為每個(gè)賬戶創(chuàng)建唯一的密碼。如果用戶嘗試創(chuàng)建具有相同字母、數(shù)字、字符的新密碼，則阻止此憑證通過。另外，將密碼設(shè)置為密碼安全策略的一部分，即用戶必須為每個(gè)帳戶創(chuàng)建唯一的密碼，并且切勿與其他任何人共享密碼。

再者，選擇安全的密碼存儲(chǔ)方式保護(hù)密碼安全。在任何情況下不要使用純文本格式存儲(chǔ)密碼，建議使用經(jīng)過批準(zhǔn)的密碼管理器以確保所有密碼的安全。更安全的做法是存儲(chǔ)加鹽的哈希值，以防止暴力攻擊和彩虹表攻擊。

顯然，要確保高安全性密碼認(rèn)證需要做很多工作。那是否有一種可以幫助用戶更容易確保憑證安全，也便于企業(yè)IT團(tuán)隊(duì)安全管理的方式嗎？研究表明，通過簡(jiǎn)單便利的無密碼身份認(rèn)證的方法可以有效地協(xié)調(diào)用戶和業(yè)務(wù)需求。

05、無密碼身份認(rèn)證

與傳統(tǒng)的基于密碼的身份驗(yàn)證流程相比，無密碼身份認(rèn)證（PasswordlessAuthentication）更方便，更安全。當(dāng)前，有兩種方法可以做無密碼身份認(rèn)證。一種選擇是使用多因素身份認(rèn)證(MFA)，另一種是基于數(shù)字證書的身份認(rèn)證或基于PKI的身份認(rèn)證。

多因素身份認(rèn)證（MFA）

多因素身份認(rèn)證（MFA）是一種更安全，多層次的防御系統(tǒng)，這種機(jī)制需要您提供兩種或多種類型的獨(dú)立憑證：

您知道的東西（如密碼或PIN）

您擁有的東西（如手機(jī)APP，安全性令牌或者智能卡）

您是誰（生物識(shí)別驗(yàn)證，如指紋識(shí)別，面部識(shí)別，視網(wǎng)膜掃描，語音識(shí)別）。

基于數(shù)字證書的身份認(rèn)證

基于PKI的認(rèn)證方法比傳統(tǒng)的MFA方法更安全。PKI作為網(wǎng)絡(luò)安全的基礎(chǔ)設(shè)施，是集加密技術(shù)、系統(tǒng)、流程和策略的統(tǒng)稱。基于證書的設(shè)備身份認(rèn)證將PKI數(shù)字證書與信任模型(TPM)結(jié)合使用，即在設(shè)備上安裝一個(gè)數(shù)字證書，該證書將組織或個(gè)人的身份與該設(shè)備聯(lián)系在一起，從而提供了客戶端身份驗(yàn)證，讓您的設(shè)備向服務(wù)器證實(shí)其身份，而不必輸入密碼。

基于PKI的無密碼身份認(rèn)證的優(yōu)點(diǎn)如下：

用戶不再需要?jiǎng)?chuàng)建或記住復(fù)雜的密碼，因?yàn)閿?shù)字證書無需密碼來驗(yàn)證用戶身份。

勿需擔(dān)心錯(cuò)誤的密碼存儲(chǔ)方法帶來的風(fēng)險(xiǎn)。

不會(huì)成為網(wǎng)絡(luò)釣魚和其他憑證攻擊的犧牲品。

06、提高密碼安全性的6個(gè)小竅門

綜上所述，基于密碼的身份驗(yàn)證并不是一種萬能的方法。在這里，銳成信息提供幾個(gè)小竅門讓您的密碼安全更有效。

不要與他人共享您的登錄信息。即使您精心創(chuàng)建了一個(gè)強(qiáng)而復(fù)雜的密碼，也并不意味在與他人共享后還能確保您的登錄憑證安全。

不要在多個(gè)帳戶中重復(fù)使用相同的密碼。大多數(shù)用戶常犯的一個(gè)錯(cuò)誤是在多個(gè)帳戶之間重復(fù)使用相同密碼。如果該密碼遭到泄露、釣魚攻擊或被盜，那意味著使用該密碼的其他帳戶都將有同樣的風(fēng)險(xiǎn)。

使用長(zhǎng)的密碼短語代替復(fù)雜又難記的密碼。長(zhǎng)的密碼短語比復(fù)雜的密碼更容易讓用戶記住。對(duì)于不依賴密碼管理器的用戶來說，這樣的密碼更有效。

阻止用戶使用違規(guī)列表中的密碼。請(qǐng)阻止用戶使用可在公共數(shù)據(jù)泄露列表中能查到的憑證密碼！

確保企業(yè)組織正確存儲(chǔ)密碼哈希值。請(qǐng)不要直接用明文格式存儲(chǔ)密碼，而應(yīng)存儲(chǔ)密碼哈希值，并使用哈希加鹽法為密碼加密，這樣不僅使密碼可以抵抗暴力攻擊，而且可以防止彩虹表攻擊。

選擇基于數(shù)字證書的身份認(rèn)證方式，徹底擺脫繁瑣而又不安全的密碼。