信息化觀察網(wǎng)

密碼安全對一個組織來說是至關(guān)重要的。訪問憑證，包括密碼，是進入你的網(wǎng)絡(luò)的門戶。然而，密碼仍然是一個安全熱點。員工通常是憑證失效的薄弱環(huán)節(jié)。但是，這可能是由于對威脅者如何實際獲取密碼信息缺乏認識。一旦這些關(guān)于密碼的神話被質(zhì)疑，企業(yè)就可以改進圍繞密碼衛(wèi)生的安全意識培訓。

誤區(qū)一：永遠不要寫下你的密碼

事實：幾十年來，圍繞密碼安全最常見的建議是永遠不要寫下密碼。雖然你不想把密碼貼在電腦屏幕上，然后在社交媒體上分享照片，但寫下密碼并將其存儲在一個安全的地方是可以的。威脅者使用更復雜的方法，如鍵盤記錄或強行密碼攻擊。要記住的是，大多數(shù)網(wǎng)絡(luò)犯罪分子希望盡可能容易地訪問更多的系統(tǒng)。對他們來說，在地方層面上一次一個密碼并不重要。

誤區(qū)二：使用短信作為多因素認證(MFA)的安全是最好的

事實：對大多數(shù)人來說，使用短信作為MFA當然是最簡單的，但它并不是確保密碼安全的最佳方式。一個新的攻擊媒介是你的手機號碼，威脅者通過SIM卡交換竊取你的手機號碼。

一個想要進行SIM卡交換的攻擊者會聯(lián)系你的手機供應商，并假裝是你。然后，你的號碼被鏈接到壞人使用的SIM卡上。然后，他們將可以訪問以文本形式發(fā)送到你手機上的任何MFA，以及你手機上的任何個人身份信息。其他MFA選項，如生物識別或認證器是一個更好的選擇。

誤區(qū)三：我不需要密碼安全提示;我的密碼是獨一無二的，很安全的

事實：由于有數(shù)十億的密碼，任何密碼都不可能是真正的唯一。大多數(shù)用戶通過改變字母大小寫或添加一個符號來創(chuàng)建"獨特"的密碼，而且他們是在得知"舊"密碼被破解后才這樣做的。威脅者使用密碼噴灑等技術(shù)，嘗試數(shù)以百萬計的普通密碼，以獲得進入網(wǎng)絡(luò)的機會。雖然你的密碼可能確實是獨一無二的，難以破解，但只需要一個壞的密碼就可以獲得整個系統(tǒng)的訪問權(quán)。

用戶對威脅者是如何獲得密碼的了解越多，應該對提高密碼安全有很大的幫助。