文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

密码安全那些事儿

2024-12-03 03:44

关注

接下来,我们将一一解答,并在最后给出一些快速提高密码安全的小窍门。

[[404732]]

什么是密码安全?

密码安全是使密码和身份验证方法更安全的策略、流程和技术的统称,要让密码安全关键是要知道如何保护密码。密码本身是一种存储秘密的身份验证器。也就是说只有您知道这个密码,并用此密码向第三方验证自己身份。其他身份验证器还包括加密设备、一次性密码或PIN,以及密钥访问卡。

什么样的密码才算是高安全性的呢?参考下方要求检测一下吧!

虽然密码直到20世纪60年代才被引入,但对于组织和用户来说,密码已经成为保障网络与信息安全最有效、最经济的关键核心技术。但密码安全对账户而言不仅仅是密码本身,它还涉及保护这些密码及其提供的访问权限的政策、程序、技术和培训。例如:

为什么密码安全很重要?

据IDC的一份报告显示,在2019年的IT和非IT调查受访者中,有62%的人表示,人为错误是企业业务面临的主要网络威胁。这种人为错误主要是源于企业的普通员工创建简单密码和共享密码导致的,而不是那些高管或拥有特殊访问权限的员工。

关于密码安全的重要性,还有哪些因素需要考虑?

法规合规性要求

遵从法规的合规性是所有组织都应该关注的一个方面。有多种法规和监管机构要求组织满足身份认证和数据保护的特定标准,也有其他组织制定标准并提供指导使公司和其他组织可以严格遵从这些标准。例如:

国家标准技术研究院 (NIST) 是一个全球性的非监管机构,主要负责监管美国联邦政府附属机构和组织。多年来,NIST一直致力于在线身份验证和密码安全研究,并制定了一套加强密码安全性的准则,它不仅仅是FBI,USDA和NSA等政府机构必须遵守的准则,也成为了很多企业遵循的密码指南。

支付卡行业数据安全标准(PCI DSS)是全球最严格、级别最高的金融机构安全认证标准,适用于所有涉及支付卡处理的实体,包括商户、处理机构、购买者、发行商和服务提供商及储存、处理或传输持卡人资料的所有其他实体。PCI DSS信息安全标准中强调身份认证,并要求进行密钥管理,在数据传输过程中使用强效加密法和安全协议来保护数据。凡是涉及处理支付卡相关数据的组织都必须要遵守PCI DSS要求,如不遵从,那么该组织将会面临巨额罚款。

欧盟的通用数据保护条例(GDRP)虽没有特别提及密码,但是在第28条中指出,数据处理者必须提供相应的技术和措施以满足本条例要求,确保数据主体权利得以安全保护。第25条规定,决定处理哪些数据以及如何处理数据的控制者也必须执行此类保护措施,以保护数据主体的权利。这就意味着凡是参与涉及个人数据处理的组织都必须采取安全措施来保护他们处理的数据。目前,使用强而独特的密码策略是安全措施中的最佳做法。

基于组织风险考虑

我们前面提到过,不安全的密码和不良的密码管理习惯会给组织增加钓鱼攻击和数据泄露的风险。看看下面的几个案例就明白了。

美国联邦调查局网络犯罪投诉中心(IC3)在2019年的报告中称,商业电子邮件泄露和电子邮件账户泄露(BEC/EAC)犯罪造成了超过17亿美元的损失。

[[404733]]

2020年7月,Twitter顶级认证用户账户的泄露与凭证泄露有关。一名Twitter员工成为了这场社交工程攻击的目标,攻击者使用该员工的凭证访问Twitter内部系统,攻击和破坏130个用户账户(包括伊隆·马斯克、巴拉克·奥巴马、乔·拜登和比尔·盖茨等名人账户),用比特币的虚假承诺欺骗用户。此次诈骗给受害者造成价值11.8万美元的比特币损失。

弱密码样例

不安全的密码各式各样,但是很多都具备以下特点:包含常用的单词,打字习惯,于自己而言非常重要的人的名字(如孩子或父母的名字),有特殊意义的日期(如生日或纪念日)等等。

那么,最常用的弱密码是什么样的呢?根据CyberNews的报道,以下是全球最常用的10个密码:

如何确保密码安全?

高安全性的密码需要从哪些方面着手呢?

首先,设置的密码足够长且复杂,还要易于记住。一般要求至少有12个字符,同时使用大写字母和小写字母,并包含一些随机数字和特殊符号。采用密码短语可以帮助您记住密码,也可以使用数字和符号代替字母使密码变得足够复杂,如“H0use”代替“House”,“G@m3r”代替“Gamer”。

其次,强制要求用户为每个账户创建唯一的密码。如果用户尝试创建具有相同字母、数字、字符的新密码,则阻止此凭证通过。另外,将密码设置为密码安全策略的一部分,即用户必须为每个帐户创建唯一的密码,并且切勿与其他任何人共享密码。

再者,选择安全的密码存储方式保护密码安全。在任何情况下不要使用纯文本格式存储密码,建议使用经过批准的密码管理器以确保所有密码的安全。更安全的做法是存储加盐的哈希值,以防止暴力攻击和彩虹表攻击。

显然,要确保高安全性密码认证需要做很多工作。那是否有一种可以帮助用户更容易确保凭证安全,也便于企业IT团队安全管理的方式吗?研究表明,通过简单便利的无密码身份认证的方法可以有效地协调用户和业务需求。

无密码身份认证

与传统的基于密码的身份验证流程相比,无密码身份认证(Passwordless Authentication)更方便,更安全。当前,有两种方法可以做无密码身份认证。一种选择是使用多因素身份认证(MFA),另一种是基于数字证书的身份认证或基于PKI的身份认证。

多因素身份认证(MFA)

多因素身份认证(MFA)是一种更安全,多层次的防御系统,这种机制需要您提供两种或多种类型的独立凭证:

基于数字证书的身份认证

基于PKI的认证方法比传统的MFA方法更安全。PKI作为网络安全的基础设施,是集加密技术、系统、流程和策略的统称。基于证书的设备身份认证将PKI数字证书与信任模型(TPM)结合使用,即在设备上安装一个数字证书,该证书将组织或个人的身份与该设备联系在一起,从而提供了客户端身份验证,让您的设备向服务器证实其身份,而不必输入密码。

基于PKI的无密码身份认证的优点如下:

[[404734]]

提高密码安全性的6个小窍门

综上所述,基于密码的身份验证并不是一种万能的方法。在这里,提供几个小窍门让您的密码安全更有效。

 

来源:FreeBuf内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯