密码安全那些事儿
据Verizon发布的《2020年数据泄露调查报告》显示,超过80%的数据泄露都是黑客利用被盗密码或弱密码导致的。密码安全对于企业,组织和个人用户来说都是非常重要的。但是,很多人并不重视密码安全,甚至不知道什么是强密码。那么,什么是密码安全?强密码和弱密码是什么样的?如果您的组织没有高安全性密码,会有哪些风险?除了创建强密码外,还有其他方式解决密码安全问题吗?
接下来,我们将一一解答,并在最后给出一些快速提高密码安全的小窍门。
什么是密码安全?
密码安全是使密码和身份验证方法更安全的策略、流程和技术的统称,要让密码安全关键是要知道如何保护密码。密码本身是一种存储秘密的身份验证器。也就是说只有您知道这个密码,并用此密码向第三方验证自己身份。其他身份验证器还包括加密设备、一次性密码或PIN,以及密钥访问卡。
什么样的密码才算是高安全性的呢?参考下方要求检测一下吧!
- 能防止未经授权的用户访问受保护的系统、信息和数据。
- 密码是否复杂的让别人难以猜到或破解。
- 于您而言,密码是否容易记住。
- 是否将密码与他人分享。
- 是否以安全的方式存储,防止密码泄露。
虽然密码直到20世纪60年代才被引入,但对于组织和用户来说,密码已经成为保障网络与信息安全最有效、最经济的关键核心技术。但密码安全对账户而言不仅仅是密码本身,它还涉及保护这些密码及其提供的访问权限的政策、程序、技术和培训。例如:
- 创建和执行计算机使用策略和/或BYOD策略,明确指出哪些账户可以在哪些设备访问,要求使用虚拟专用网远程工作或连接到公共Wi-Fi等。
- 创建并执行密码策略,以解决特定的密码创建、存储和维护需求。
- 为员工提供培训和指导,以帮助他们了解建立安全密码和遵循密码管理最佳方法的重要性。
为什么密码安全很重要?
据IDC的一份报告显示,在2019年的IT和非IT调查受访者中,有62%的人表示,人为错误是企业业务面临的主要网络威胁。这种人为错误主要是源于企业的普通员工创建简单密码和共享密码导致的,而不是那些高管或拥有特殊访问权限的员工。
关于密码安全的重要性,还有哪些因素需要考虑?
法规合规性要求
遵从法规的合规性是所有组织都应该关注的一个方面。有多种法规和监管机构要求组织满足身份认证和数据保护的特定标准,也有其他组织制定标准并提供指导使公司和其他组织可以严格遵从这些标准。例如:
国家标准技术研究院(NIST)是一个全球性的非监管机构,主要负责监管美国联邦政府附属机构和组织。多年来,NIST一直致力于在线身份验证和密码安全研究,并制定了一套加强密码安全性的准则,它不仅仅是FBI,USDA和NSA等政府机构必须遵守的准则,也成为了很多企业遵循的密码指南。
支付卡行业数据安全标准(PCIDSS)是全球最严格、级别最高的金融机构安全认证标准,适用于所有涉及支付卡处理的实体,包括商户、处理机构、购买者、发行商和服务提供商及储存、处理或传输持卡人资料的所有其他实体。PCIDSS信息安全标准中强调身份认证,并要求进行密钥管理,在数据传输过程中使用强效加密法和安全协议来保护数据。凡是涉及处理支付卡相关数据的组织都必须要遵守PCIDSS要求,如不遵从,那么该组织将会面临巨额罚款。
欧盟的通用数据保护条例(GDRP)虽没有特别提及密码,但是在第28条中指出,数据处理者必须提供相应的技术和措施以满足本条例要求,确保数据主体权利得以安全保护。第25条规定,决定处理哪些数据以及如何处理数据的控制者也必须执行此类保护措施,以保护数据主体的权利。这就意味着凡是参与涉及个人数据处理的组织都必须采取安全措施来保护他们处理的数据。目前,使用强而独特的密码策略是安全措施中的最佳做法。
基于组织风险考虑
我们前面提到过,不安全的密码和不良的密码管理习惯会给组织增加钓鱼攻击和数据泄露的风险。看看下面的几个案例就明白了。
美国联邦调查局网络犯罪投诉中心(IC3)在2019年的报告中称,商业电子邮件泄露和电子邮件账户泄露(BEC/EAC)犯罪造成了超过17亿美元的损失。
2020年7月,Twitter顶级认证用户账户的泄露与凭证泄露有关。一名Twitter员工成为了这场社交工程攻击的目标,攻击者使用该员工的凭证访问Twitter内部系统,攻击和破坏130个用户账户(包括伊隆·马斯克、巴拉克·奥巴马、乔·拜登和比尔·盖茨等名人账户),用比特币的虚假承诺欺骗用户。此次诈骗给受害者造成价值11.8万美元的比特币损失。
弱密码样例
不安全的密码各式各样,但是很多都具备以下特点:包含常用的单词,打字习惯,于自己而言非常重要的人的名字(如孩子或父母的名字),有特殊意义的日期(如生日或纪念日)等等。
那么,最常用的弱密码是什么样的呢?根据CyberNews的报道,以下是全球最常用的10个密码:
- 123456
- 123456789
- qwerty
- password
- 12345
- qwerty123
- 1q2w3e
- 12345678
- 111111
- 1234567890
如何确保密码安全?
高安全性的密码需要从哪些方面着手呢?
首先,设置的密码足够长且复杂,还要易于记住。一般要求至少有12个字符,同时使用大写字母和小写字母,并包含一些随机数字和特殊符号。采用密码短语可以帮助您记住密码,也可以使用数字和符号代替字母使密码变得足够复杂,如“H0use”代替“House”,“G@m3r”代替“Gamer”。
其次,强制要求用户为每个账户创建唯一的密码。如果用户尝试创建具有相同字母、数字、字符的新密码,则阻止此凭证通过。另外,将密码设置为密码安全策略的一部分,即用户必须为每个帐户创建唯一的密码,并且切勿与其他任何人共享密码。
再者,选择安全的密码存储方式保护密码安全。在任何情况下不要使用纯文本格式存储密码,建议使用经过批准的密码管理器以确保所有密码的安全。更安全的做法是存储加盐的哈希值,以防止暴力攻击和彩虹表攻击。
显然,要确保高安全性密码认证需要做很多工作。那是否有一种可以帮助用户更容易确保凭证安全,也便于企业IT团队安全管理的方式吗?研究表明,通过简单便利的无密码身份认证的方法可以有效地协调用户和业务需求。
无密码身份认证
与传统的基于密码的身份验证流程相比,无密码身份认证(PasswordlessAuthentication)更方便,更安全。当前,有两种方法可以做无密码身份认证。一种选择是使用多因素身份认证(MFA),另一种是基于数字证书的身份认证或基于PKI的身份认证。
多因素身份认证(MFA)
多因素身份认证(MFA)是一种更安全,多层次的防御系统,这种机制需要您提供两种或多种类型的独立凭证:
- 您知道的东西(如密码或PIN)
- 您拥有的东西(如手机APP,安全性令牌或者智能卡)
- 您是谁(生物识别验证,如指纹识别,面部识别,视网膜扫描,语音识别)。
基于数字证书的身份认证
基于PKI的认证方法比传统的MFA方法更安全。PKI作为网络安全的基础设施,是集加密技术、系统、流程和策略的统称。基于证书的设备身份认证将PKI数字证书与信任模型(TPM)结合使用,即在设备上安装一个数字证书,该证书将组织或个人的身份与该设备联系在一起,从而提供了客户端身份验证,让您的设备向服务器证实其身份,而不必输入密码。
基于PKI的无密码身份认证的优点如下:
- 用户不再需要创建或记住复杂的密码,因为数字证书无需密码来验证用户身份。
- 勿需担心错误的密码存储方法带来的风险。
- 不会成为网络钓鱼和其他凭证攻击的牺牲品。
提高密码安全性的6个小窍门
综上所述,基于密码的身份验证并不是一种万能的方法。在这里,提供几个小窍门让您的密码安全更有效。
- 不要与他人共享您的登录信息。即使您精心创建了一个强而复杂的密码,也并不意味在与他人共享后还能确保您的登录凭证安全。
- 不要在多个帐户中重复使用相同的密码。大多数用户常犯的一个错误是在多个帐户之间重复使用相同密码。如果该密码遭到泄露、钓鱼攻击或被盗,那意味着使用该密码的其他帐户都将有同样的风险。
- 使用长的密码短语代替复杂又难记的密码。长的密码短语比复杂的密码更容易让用户记住。对于不依赖密码管理器的用户来说,这样的密码更有效。
- 阻止用户使用违规列表中的密码。请阻止用户使用可在公共数据泄露列表中能查到的凭证密码!
- 确保企业组织正确存储密码哈希值。请不要直接用明文格式存储密码,而应存储密码哈希值,并使用哈希加盐法为密码加密,这样不仅使密码可以抵抗暴力攻击,而且可以防止彩虹表攻击。
- 选择基于数字证书的身份认证方式,彻底摆脱繁琐而又不安全的密码。
推荐系统
微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载
语言:中文版系统大小:5.13GB系统类型:Win11微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Win11 64位 Office办公版(免费)优化 1、保留 Edge浏览器。 2、隐藏“操作中心”托盘图标。 3、保留常用组件(微软商店,计算器,图片查看器等)。 5、关闭天气资讯。
Win11 21H2 官方正式版下载_Win11 21H2最新系统免激活下载
语言:中文版系统大小:4.75GB系统类型:Win11Ghost Win11 21H2是微软在系统方面技术积累雄厚深耕多年,Ghost Win11 21H2系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Ghost Win11 21H2是微软最新发布的KB5019961补丁升级而来的最新版的21H2系统,以Windows 11 21H2 22000 1219 专业版为基础进行优化,保持原汁原味,系统流畅稳定,保留常用组件
windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载
语言:中文版系统大小:5.31GB系统类型:Win11windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载,微软win11发布快大半年了,其中做了很多次补丁和修复一些BUG,比之前的版本有一些功能上的调整,目前已经升级到最新版本的镜像系统,并且优化了自动激活,永久使用。windows11中文版镜像国内镜像下载地址微软windows11正式版镜像 介绍:1、对函数算法进行了一定程度的简化和优化
微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载
语言:中文版系统大小:5.31GB系统类型:Win11微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载,微软2022年正式推出了win11系统,很多人迫不及待的要体验,本站提供了最新版的微软Windows11正式版系统下载,微软windows11正式版镜像 是一款功能超级强大的装机系统,是微软方面全新推出的装机系统,这款系统可以通过pe直接的完成安装,对此系统感兴趣,想要使用的用户们就快来下载
微软windows11系统下载 微软原版 Ghost win11 X64 正式版ISO镜像文件
语言:中文版系统大小:0MB系统类型:Win11微软Ghost win11 正式版镜像文件是一款由微软方面推出的优秀全新装机系统,这款系统的新功能非常多,用户们能够在这里体验到最富有人性化的设计等,且全新的柔软界面,看起来非常的舒服~微软Ghost win11 正式版镜像文件介绍:1、与各种硬件设备兼容。 更好地完成用户安装并有效地使用。2、稳定使用蓝屏,系统不再兼容,更能享受无缝的系统服务。3、为
雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载
语言:中文版系统大小:4.75GB系统类型:雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业的雨林木风品牌,其系统口碑得到许多人认可,积累了广大的用户群体,雨林木风是一款稳定流畅的系统,一直以来都以用户为中心,是由雨林木风团队推出的Windows11国内镜像版,基于国内用户的习惯,做了系统性能的优化,采用了新的系统
雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO
语言:中文版系统大小:5.91GB系统类型:Win7雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO在系统方面技术积累雄厚深耕多年,加固了系统安全策略,雨林木风win7旗舰版系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。win7 32位旗舰装机版 v2019 05能够帮助用户们进行系统的一键安装、快速装机等,系统中的内容全面,能够为广大用户
番茄花园Ghost Win7 x64 SP1稳定装机版2022年7月(64位) 高速下载
语言:中文版系统大小:3.91GB系统类型:Win7欢迎使用 番茄花园 Ghost Win7 x64 SP1 2022.07 极速装机版 专业装机版具有更安全、更稳定、更人性化等特点。集成最常用的装机软件,集成最全面的硬件驱动,精心挑选的系统维护工具,加上独有人性化的设计。是电脑城、个人、公司快速装机之首选!拥有此系统
相关文章
- 浅析2016年DDoS攻击现状与防御机制
- 详解:易到用车如何被黑客“开”走了车
- 给需要关心安全的技术人员的一些建议
- serv_u提权记录: 530 Not logged in, home directory does not exist
- 微步在线完成亿元级C轮融资
- 价值60亿的比特币钱包被清空
- Google安全团队该不该披露疑似美国政府的黑客行动?
- 安装WIN7后,如何对WIN7系统优化?
- PJBlog个人博客系统Action.asp页面跨站脚本攻击漏洞
- 如何解决两因素和多因素身份验证的大问题
- 谁能用智能攻占客厅?
- HSRP(热备份路由器协议)的详细介绍
- BlindSide攻击使用推测执行绕过ASLR
- 送出670万美元 谷歌漏洞奖励计划公布
- 如何更改是否自动连接某一WIFI
- 华为路由器儿童上网保护模式怎么设置?
- 路由器停产,360的其他硬件产品是否安好?
- php包含漏洞替代技术的方法与介绍 php文件包含漏洞详解
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 3电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 4雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
常用系统
- 1雨林木风 GHOST WIN7 64位 SP1珍藏旗舰版 V2019.02
- 2深度技术 GHOST WIN7 SP1 X64 极速装机版 V2015.05(64位) 下载
- 3Win8.1 32位专业版下载_Ghost Win8 32位专业版永久激活下载
- 4电脑公司Ghost Win10 五一稳定版64位 v2023.05最新免费下载
- 5电脑公司Ghost Win8.1 X64位 新春特别 纯净版2022年2月(自动激活) ISO镜像快速下载
- 6番茄花园 GHOST WIN10 X86 专业装机版 V2020.03 (32位) 下载
- 7雨林木风Ghost Win10 64位 专业版 v2023.10最新免费下载
- 8win10系统之家下载_Windows10系统之家v2023.01免费下载
- 9番茄花园GHOST WIN7 安全旗舰版64位 v2020.05免费下载
- 10Win11官方原版镜像2023下载_微软Windows11官方原版镜像下载