密碼安全對一個組織來說是至關重要的。訪問憑證，包括密碼，是進入你的網絡的門戶。然而，密碼仍然是一個安全熱點。員工通常是憑證失效的薄弱環節。但是，這可能是由于對威脅者如何實際獲取密碼信息缺乏認識。一旦這些關于密碼的神話被質疑，企業就可以改進圍繞密碼衛生的安全意識培訓。

[[414437]]

誤區一：永遠不要寫下你的密碼

事實：幾十年來，圍繞密碼安全最常見的建議是永遠不要寫下密碼。雖然你不想把密碼貼在電腦屏幕上，然后在社交媒體上分享照片，但寫下密碼并將其存儲在一個安全的地方是可以的。威脅者使用更復雜的方法，如鍵盤記錄或強行密碼攻擊。要記住的是，大多數網絡犯罪分子希望盡可能容易地訪問更多的系統。對他們來說，在地方層面上一次一個密碼并不重要。

誤區二：使用短信作為多因素認證(MFA)的安全是最好的

事實：對大多數人來說，使用短信作為MFA當然是最簡單的，但它并不是確保密碼安全的最佳方式。一個新的攻擊媒介是你的手機號碼，威脅者通過SIM卡交換竊取你的手機號碼。

一個想要進行SIM卡交換的攻擊者會聯系你的手機供應商，并假裝是你。然后，你的號碼被鏈接到壞人使用的SIM卡上。然后，他們將可以訪問以文本形式發送到你手機上的任何MFA，以及你手機上的任何個人身份信息。其他MFA選項，如生物識別或認證器是一個更好的選擇。

誤區三：我不需要密碼安全提示;我的密碼是獨一無二的，很安全的

事實：由于有數十億的密碼，任何密碼都不可能是真正的唯一。大多數用戶通過改變字母大小寫或添加一個符號來創建 "獨特 "的密碼，而且他們是在得知 "舊 "密碼被破解后才這樣做的。威脅者使用密碼噴灑等技術，嘗試數以百萬計的普通密碼，以獲得進入網絡的機會。雖然你的密碼可能確實是獨一無二的，難以破解，但只需要一個壞的密碼就可以獲得整個系統的訪問權。

用戶對威脅者是如何獲得密碼的了解越多，應該對提高密碼安全有很大的幫助。