信息化觀察網(wǎng)

密碼安全，顧名思義，它指的是對(duì)于我們密碼的安全。密碼是我們生活中最常見的進(jìn)行身份驗(yàn)證的一個(gè)因素，一般我們?cè)诘卿浵到y(tǒng)或者是其他應(yīng)用程序的時(shí)候，最先需要利用用戶名和密碼來驗(yàn)證我們的身份，這稱為單因素身份驗(yàn)證。如果您的組織沒有高安全性密碼，會(huì)有哪些風(fēng)險(xiǎn)?除了創(chuàng)建強(qiáng)密碼外，還有其他方式解決密碼安全問題嗎?

密碼作為最基本的一個(gè)身份驗(yàn)證的因素，如果沒有被保護(hù)好，或者被別人猜測(cè)到，而網(wǎng)站又沒有做到足夠的防護(hù)，沒有檢測(cè)或者其他加固的安全性措施的話，那么你的系統(tǒng)就完全暴露在攻擊者面前，再也沒有任何秘密可言。

據(jù)Verizon發(fā)布的《2020年數(shù)據(jù)泄露調(diào)查報(bào)告》顯示，超過80%的數(shù)據(jù)泄露都是黑客利用被盜密碼或弱密碼導(dǎo)致的。密碼安全對(duì)于企業(yè)，組織和個(gè)人用戶來說都是非常重要的。但是，很多人并不重視密碼安全，甚至不知道什么是強(qiáng)密碼。那么，什么是密碼安全?強(qiáng)密碼和弱密碼是什么樣的?如果您的組織沒有高安全性密碼，會(huì)有哪些風(fēng)險(xiǎn)?除了創(chuàng)建強(qiáng)密碼外，還有其他方式解決密碼安全問題嗎?

針對(duì)密碼攻擊的危害，如果你的密碼恰好是你最常用的一個(gè)密碼，騙子將有可能用你的密碼去撞庫(kù),造成嚴(yán)重的信息泄露。

常見密碼攻擊手段：

1.字典攻擊；

2.密碼猜測(cè)；

3.彩虹表攻擊；

4.社會(huì)工程學(xué)攻擊手段；

5.間諜軟件；

6.竊聽攻擊；

密碼是權(quán)限控制的第一道關(guān)卡，因?yàn)楹芏嘤脩粼O(shè)置密碼過于簡(jiǎn)單，登錄的系統(tǒng)也并沒有強(qiáng)制采用強(qiáng)密碼策略，同時(shí)也沒有采用其他的多因素身份驗(yàn)證的方式，包括用戶的安全意識(shí)的不足，就容易遭受社會(huì)工程學(xué)攻擊。而且密碼被破解之后，缺乏異常登陸的報(bào)警，也沒有能夠及時(shí)地監(jiān)測(cè)到密碼的異常登陸，就會(huì)導(dǎo)致攻擊頻發(fā)。

如何確保密碼安全?什么樣的密碼才算是高安全性的呢?

密碼安全是使密碼和身份驗(yàn)證方法更安全的策略、流程和技術(shù)的統(tǒng)稱，要讓密碼安全關(guān)鍵是要知道如何保護(hù)密碼。密碼本身是一種存儲(chǔ)秘密的身份驗(yàn)證器。也就是說只有您知道這個(gè)密碼，并用此密碼向第三方驗(yàn)證自己身份。其他身份驗(yàn)證器還包括加密設(shè)備、一次性密碼或PIN，以及密鑰訪問卡。除了密碼之外，我們還可以再進(jìn)一步利用數(shù)字令牌、利用生物特征，比如虹膜掃描，視網(wǎng)膜掃描等來對(duì)你進(jìn)行身份驗(yàn)證，但密碼永遠(yuǎn)是最常見的身份驗(yàn)證的第一個(gè)因素。

1:設(shè)置的密碼足夠長(zhǎng)且復(fù)雜

2:基于數(shù)字證書的身份認(rèn)證或基于PKI的身份認(rèn)證

3:多因素身份認(rèn)證(MFA)

最后在內(nèi)網(wǎng)實(shí)施產(chǎn)品碼策略，可以在預(yù)控服務(wù)器上去執(zhí)行，通過組策略去實(shí)施密碼長(zhǎng)度、復(fù)雜度等強(qiáng)密碼的一個(gè)策略，包括去實(shí)施賬戶地鎖定的闕值、持續(xù)時(shí)間等等。也可以用于我們的線上的系統(tǒng)，這些都是一些密碼相關(guān)的安全設(shè)計(jì)的規(guī)范，包括使用加密去存儲(chǔ)賬戶密碼，通過密碼學(xué)的一些手段去實(shí)施密碼的加密，不能以明文的形式存儲(chǔ)密碼。還要去定期的去做審計(jì)，及時(shí)去觸發(fā)報(bào)警等等。