成人免费xxxxx在线视频软件_久久精品久久久_亚洲国产精品久久久_天天色天天色_亚洲人成一区_欧美一级欧美三级在线观看

密碼安全那些事兒

安全 數據安全
什么是密碼安全?強密碼和弱密碼是什么樣的?如果您的組織沒有高安全性密碼,會有哪些風險?除了創建強密碼外,還有其他方式解決密碼安全問題嗎?

據Verizon 發布的《2020年數據泄露調查報告》顯示,超過80%的數據泄露都是黑客利用被盜密碼或弱密碼導致的。密碼安全對于企業,組織和個人用戶來說都是非常重要的。但是,很多人并不重視密碼安全,甚至不知道什么是強密碼。那么,什么是密碼安全?強密碼和弱密碼是什么樣的?如果您的組織沒有高安全性密碼,會有哪些風險?除了創建強密碼外,還有其他方式解決密碼安全問題嗎?

接下來,我們將一一解答,并在最后給出一些快速提高密碼安全的小竅門。

[[404732]]

什么是密碼安全?

密碼安全是使密碼和身份驗證方法更安全的策略、流程和技術的統稱,要讓密碼安全關鍵是要知道如何保護密碼。密碼本身是一種存儲秘密的身份驗證器。也就是說只有您知道這個密碼,并用此密碼向第三方驗證自己身份。其他身份驗證器還包括加密設備、一次性密碼或PIN,以及密鑰訪問卡。

什么樣的密碼才算是高安全性的呢?參考下方要求檢測一下吧!

  • 能防止未經授權的用戶訪問受保護的系統、信息和數據。
  • 密碼是否復雜的讓別人難以猜到或破解。
  • 于您而言,密碼是否容易記住。
  • 是否將密碼與他人分享。
  • 是否以安全的方式存儲,防止密碼泄露。

雖然密碼直到20世紀60年代才被引入,但對于組織和用戶來說,密碼已經成為保障網絡與信息安全最有效、最經濟的關鍵核心技術。但密碼安全對賬戶而言不僅僅是密碼本身,它還涉及保護這些密碼及其提供的訪問權限的政策、程序、技術和培訓。例如:

  • 創建和執行計算機使用策略和/或BYOD策略,明確指出哪些賬戶可以在哪些設備訪問,要求使用虛擬專用網遠程工作或連接到公共Wi-Fi等。
  • 創建并執行密碼策略,以解決特定的密碼創建、存儲和維護需求。
  • 為員工提供培訓和指導,以幫助他們了解建立安全密碼和遵循密碼管理最佳方法的重要性。

為什么密碼安全很重要?

據IDC的一份報告顯示,在2019年的IT和非IT調查受訪者中,有62%的人表示,人為錯誤是企業業務面臨的主要網絡威脅。這種人為錯誤主要是源于企業的普通員工創建簡單密碼和共享密碼導致的,而不是那些高管或擁有特殊訪問權限的員工。

關于密碼安全的重要性,還有哪些因素需要考慮?

法規合規性要求

遵從法規的合規性是所有組織都應該關注的一個方面。有多種法規和監管機構要求組織滿足身份認證和數據保護的特定標準,也有其他組織制定標準并提供指導使公司和其他組織可以嚴格遵從這些標準。例如:

國家標準技術研究院 (NIST) 是一個全球性的非監管機構,主要負責監管美國聯邦政府附屬機構和組織。多年來,NIST一直致力于在線身份驗證和密碼安全研究,并制定了一套加強密碼安全性的準則,它不僅僅是FBI,USDA和NSA等政府機構必須遵守的準則,也成為了很多企業遵循的密碼指南。

支付卡行業數據安全標準(PCI DSS)是全球最嚴格、級別最高的金融機構安全認證標準,適用于所有涉及支付卡處理的實體,包括商戶、處理機構、購買者、發行商和服務提供商及儲存、處理或傳輸持卡人資料的所有其他實體。PCI DSS信息安全標準中強調身份認證,并要求進行密鑰管理,在數據傳輸過程中使用強效加密法和安全協議來保護數據。凡是涉及處理支付卡相關數據的組織都必須要遵守PCI DSS要求,如不遵從,那么該組織將會面臨巨額罰款。

歐盟的通用數據保護條例(GDRP)雖沒有特別提及密碼,但是在第28條中指出,數據處理者必須提供相應的技術和措施以滿足本條例要求,確保數據主體權利得以安全保護。第25條規定,決定處理哪些數據以及如何處理數據的控制者也必須執行此類保護措施,以保護數據主體的權利。這就意味著凡是參與涉及個人數據處理的組織都必須采取安全措施來保護他們處理的數據。目前,使用強而獨特的密碼策略是安全措施中的最佳做法。

基于組織風險考慮

我們前面提到過,不安全的密碼和不良的密碼管理習慣會給組織增加釣魚攻擊和數據泄露的風險。看看下面的幾個案例就明白了。

美國聯邦調查局網絡犯罪投訴中心(IC3)在2019年的報告中稱,商業電子郵件泄露和電子郵件賬戶泄露(BEC/EAC)犯罪造成了超過17億美元的損失。

[[404733]]

2020年7月,Twitter頂級認證用戶賬戶的泄露與憑證泄露有關。一名Twitter員工成為了這場社交工程攻擊的目標,攻擊者使用該員工的憑證訪問Twitter內部系統,攻擊和破壞130個用戶賬戶(包括伊隆·馬斯克、巴拉克·奧巴馬、喬·拜登和比爾·蓋茨等名人賬戶),用比特幣的虛假承諾欺騙用戶。此次詐騙給受害者造成價值11.8萬美元的比特幣損失。

弱密碼樣例

不安全的密碼各式各樣,但是很多都具備以下特點:包含常用的單詞,打字習慣,于自己而言非常重要的人的名字(如孩子或父母的名字),有特殊意義的日期(如生日或紀念日)等等。

那么,最常用的弱密碼是什么樣的呢?根據CyberNews的報道,以下是全球最常用的10個密碼:

  • 123456
  • 123456789
  • qwerty
  • password
  • 12345
  • qwerty123
  • 1q2w3e
  • 12345678
  • 111111
  • 1234567890

如何確保密碼安全?

高安全性的密碼需要從哪些方面著手呢?

首先,設置的密碼足夠長且復雜,還要易于記住。一般要求至少有12個字符,同時使用大寫字母和小寫字母,并包含一些隨機數字和特殊符號。采用密碼短語可以幫助您記住密碼,也可以使用數字和符號代替字母使密碼變得足夠復雜,如“H0use”代替“House”,“G@m3r”代替“Gamer”。

其次,強制要求用戶為每個賬戶創建唯一的密碼。如果用戶嘗試創建具有相同字母、數字、字符的新密碼,則阻止此憑證通過。另外,將密碼設置為密碼安全策略的一部分,即用戶必須為每個帳戶創建唯一的密碼,并且切勿與其他任何人共享密碼。

再者,選擇安全的密碼存儲方式保護密碼安全。在任何情況下不要使用純文本格式存儲密碼,建議使用經過批準的密碼管理器以確保所有密碼的安全。更安全的做法是存儲加鹽的哈希值,以防止暴力攻擊和彩虹表攻擊。

顯然,要確保高安全性密碼認證需要做很多工作。那是否有一種可以幫助用戶更容易確保憑證安全,也便于企業IT團隊安全管理的方式嗎?研究表明,通過簡單便利的無密碼身份認證的方法可以有效地協調用戶和業務需求。

無密碼身份認證

與傳統的基于密碼的身份驗證流程相比,無密碼身份認證(Passwordless Authentication)更方便,更安全。當前,有兩種方法可以做無密碼身份認證。一種選擇是使用多因素身份認證(MFA),另一種是基于數字證書的身份認證或基于PKI的身份認證。

多因素身份認證(MFA)

多因素身份認證(MFA)是一種更安全,多層次的防御系統,這種機制需要您提供兩種或多種類型的獨立憑證:

  • 您知道的東西(如密碼或PIN)
  • 您擁有的東西(如手機APP,安全性令牌或者智能卡)
  • 您是誰(生物識別驗證,如指紋識別,面部識別,視網膜掃描,語音識別)。

基于數字證書的身份認證

基于PKI的認證方法比傳統的MFA方法更安全。PKI作為網絡安全的基礎設施,是集加密技術、系統、流程和策略的統稱。基于證書的設備身份認證將PKI數字證書與信任模型(TPM)結合使用,即在設備上安裝一個數字證書,該證書將組織或個人的身份與該設備聯系在一起,從而提供了客戶端身份驗證,讓您的設備向服務器證實其身份,而不必輸入密碼。

基于PKI的無密碼身份認證的優點如下:

  • 用戶不再需要創建或記住復雜的密碼,因為數字證書無需密碼來驗證用戶身份。
  • 勿需擔心錯誤的密碼存儲方法帶來的風險。
  • 不會成為網絡釣魚和其他憑證攻擊的犧牲品。

[[404734]]

提高密碼安全性的6個小竅門

綜上所述,基于密碼的身份驗證并不是一種萬能的方法。在這里,提供幾個小竅門讓您的密碼安全更有效。

  • 不要與他人共享您的登錄信息。即使您精心創建了一個強而復雜的密碼,也并不意味在與他人共享后還能確保您的登錄憑證安全。
  • 不要在多個帳戶中重復使用相同的密碼。大多數用戶常犯的一個錯誤是在多個帳戶之間重復使用相同密碼。如果該密碼遭到泄露、釣魚攻擊或被盜,那意味著使用該密碼的其他帳戶都將有同樣的風險。
  • 使用長的密碼短語代替復雜又難記的密碼。長的密碼短語比復雜的密碼更容易讓用戶記住。對于不依賴密碼管理器的用戶來說,這樣的密碼更有效。
  • 阻止用戶使用違規列表中的密碼。請阻止用戶使用可在公共數據泄露列表中能查到的憑證密碼!
  • 確保企業組織正確存儲密碼哈希值。請不要直接用明文格式存儲密碼,而應存儲密碼哈希值,并使用哈希加鹽法為密碼加密,這樣不僅使密碼可以抵抗暴力攻擊,而且可以防止彩虹表攻擊。
  • 選擇基于數字證書的身份認證方式,徹底擺脫繁瑣而又不安全的密碼。

 

責任編輯:趙寧寧 來源: FreeBuf
相關推薦

2019-12-27 10:28:07

信息安全證書信息安全網絡安全

2013-07-09 13:50:05

2020-05-06 16:47:08

線程安全Python數據安全

2020-05-07 10:05:52

Python數據安全

2016-05-31 10:29:09

2013-12-26 14:23:03

定位系統GPS監測

2018-09-26 06:50:19

2021-06-02 08:33:31

TPCTPC-H系統

2011-02-25 14:35:00

2022-02-08 17:39:04

MySQL服務器存儲

2012-12-06 14:34:16

2013-09-09 10:54:24

2021-04-29 10:30:58

MySQL數據遷移

2024-08-12 08:41:40

2022-02-18 19:24:15

性能優化代碼

2019-11-20 10:00:56

開源侵權版權

2021-03-18 09:01:53

軟件開發軟件選型

2024-11-18 15:30:53

Linux目錄權限

2023-04-11 07:34:40

分布式系統算法

2022-12-25 10:47:52

點贊
收藏

51CTO技術棧公眾號

主站蜘蛛池模板: 国产精品国产精品国产专区不片 | 午夜一区二区三区在线观看 | 毛片a级 | 午夜精品久久久久久久99黑人 | 中文字幕日韩一区 | 久久精品久久精品久久精品 | 久久五月婷 | 欧美一区视频 | 一区二区三区国产好 | 色一阁| 亚洲永久精品国产 | 久久久久久久一区 | 精品毛片| 亚洲成人福利在线观看 | 日日骚av| 成人av免费在线观看 | 国产免费一区二区三区 | 亚洲国产精品91 | 亚洲国产高清在线观看 | 国产精品欧美一区二区三区 | 波多野结衣二区 | 国产精品久久7777777 | 亚洲精品一区二区 | 91麻豆精品国产91久久久更新资源速度超快 | 国产精品毛片一区二区三区 | 天堂国产 | 九色网址 | 在线视频99 | 婷婷久久五月天 | 日日操操| 日韩一区二区三区精品 | 亚洲成人综合社区 | 亚洲人成人一区二区在线观看 | 国产一级免费视频 | 免费黄色网址视频 | 欧美精品在线免费 | 99这里只有精品视频 | 国产欧美日韩视频 | 国产一区 | 国产高清在线观看 | 午夜tv免费观看 |