本文來(lái)自微信公眾號(hào)“嘶吼專業(yè)版”,作者/胡金魚(yú)。
密碼重復(fù)使用似乎是很多人的常用做法,但這種行為卻會(huì)對(duì)企業(yè)的網(wǎng)絡(luò)安全產(chǎn)生一定影響。當(dāng)用戶在多個(gè)賬戶中重用密碼時(shí),這便為黑客進(jìn)行破壞創(chuàng)造了一個(gè)黃金機(jī)會(huì)。
企業(yè)可能有自己強(qiáng)有力的密碼策略,但如果重用密碼廣泛,可能會(huì)造成一種錯(cuò)誤的安全感。
密碼重用如何造成破壞
假設(shè)每一個(gè)終端用戶都被提示創(chuàng)建一個(gè)由隨機(jī)字母組成的多個(gè)字符的密碼短語(yǔ),那可以對(duì)照最常用的密碼列表進(jìn)行檢查。從表面上看活動(dòng)目錄的密碼安全性很強(qiáng),但當(dāng)用戶在不太安全的個(gè)人設(shè)備、網(wǎng)站或應(yīng)用程序上重用這個(gè)密碼時(shí),危機(jī)就開(kāi)始了。
黑客可能會(huì)在安全性差的情況下侵入網(wǎng)站的數(shù)據(jù)庫(kù),并訪問(wèn)每個(gè)用戶的密碼。從那里,他們可以試圖找出個(gè)人在哪里就業(yè),并查閱他們的工作帳戶。攻擊者還可以通過(guò)網(wǎng)絡(luò)釣魚(yú)等社會(huì)工程攻擊個(gè)人來(lái)獲得證書(shū)。
在密碼被泄露的情況下,黑客們使用自動(dòng)化的工具系統(tǒng)地在各種網(wǎng)站和應(yīng)用程序中,包括那些與目標(biāo)工作地點(diǎn)相關(guān)的網(wǎng)站和應(yīng)用程序,測(cè)試被盜的用戶名和密碼組合。這使企業(yè)電子郵件帳戶、內(nèi)部系統(tǒng)、文件存儲(chǔ)庫(kù),甚至行政權(quán)限均處于危險(xiǎn)之中。
一旦進(jìn)入網(wǎng)絡(luò),攻擊者可以橫向移動(dòng)探索不同的系統(tǒng),并升級(jí)他們的特權(quán)。攻擊者可以訪問(wèn)敏感數(shù)據(jù),破壞其他帳戶、安裝惡意軟件,或在網(wǎng)絡(luò)中發(fā)起進(jìn)一步攻擊。他們可以過(guò)濾敏感數(shù)據(jù)、操縱或刪除信息、破壞業(yè)務(wù),或扣留數(shù)據(jù)作為勒索籌碼。
為什么人們會(huì)重復(fù)使用密碼
密碼重用主要是為了方便。用戶傾向于選擇易于記住的密碼,并經(jīng)常在多個(gè)賬戶中循環(huán)使用,以避免管理眾多復(fù)雜密碼的麻煩。
當(dāng)我們考慮到用戶在記住和管理多個(gè)密碼方面的負(fù)擔(dān)增加時(shí),密碼重用的出現(xiàn)并不奇怪。人們被他們需要管理的帳戶和密碼的數(shù)量所淹沒(méi),這種疲勞導(dǎo)致了密碼重用等捷徑。
即使最終用戶通過(guò)培訓(xùn)意識(shí)到了風(fēng)險(xiǎn),也常常會(huì)有一種“不會(huì)是我”的心態(tài),最近的一項(xiàng)調(diào)查結(jié)果顯示,有84%的人在多個(gè)賬戶中使用相同的密碼。
改變這種行為需要的不僅僅是用戶教育和安全意識(shí)培訓(xùn),也需要技術(shù)支持。
解決密碼重用問(wèn)題
解決密碼重用問(wèn)題需要將用戶教育、技術(shù)解決方案和組織政策結(jié)合起來(lái)。要改變用戶行為,提高認(rèn)識(shí),并采用安全的身份驗(yàn)證方法,以減少對(duì)密碼的依賴。
安全和方便之間有微妙的平衡。企業(yè)需要實(shí)施強(qiáng)有力的安全措施,以減少密碼重用,但還必須考慮用戶體驗(yàn),避免造成用戶負(fù)擔(dān)。
用戶教育和認(rèn)識(shí)
定期舉辦網(wǎng)絡(luò)安全培訓(xùn)班,以教育員工了解密碼重用的風(fēng)險(xiǎn)和設(shè)置強(qiáng)有力密碼的重要性。人們需要明白,即使是強(qiáng)大的、獨(dú)特的密碼,也會(huì)處于危險(xiǎn)之中。
多因素認(rèn)證
設(shè)置MFA作為額外的安全層。通過(guò)要求用戶提供多種形式的身份驗(yàn)證,比如密碼和發(fā)送到他們的移動(dòng)設(shè)備上的唯一代碼,黑客就很難破壞帳戶。不過(guò),MFA不是絕對(duì)安全的。
密碼管理員
密碼管理器安全地存儲(chǔ)和生成不同帳戶的復(fù)雜密碼,要求用戶只記住一個(gè)主密碼。這消除了記住多個(gè)密碼的需要,并減少了重用密碼的誘惑。但如果最終用戶重用他們的主密碼,這將使他們的所有帳戶都處于風(fēng)險(xiǎn)之中。
連續(xù)加密密碼掃描
針對(duì)密碼重用的最好防御是實(shí)現(xiàn)一個(gè)解決方案,利用方案連續(xù)掃描活動(dòng)目錄密碼和全面的數(shù)據(jù)庫(kù)受損害密碼,以便能夠?qū)崟r(shí)檢測(cè)到受損密碼,降低未經(jīng)授權(quán)訪問(wèn)的風(fēng)險(xiǎn),并對(duì)安全事件作出快速反應(yīng)。