文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

密码面临的风险和无秘密技术背后的真相

2024-12-02 17:32

关注

企业面临的最大安全风险之一是大量使用密码作为不同应用程序的主要身份验证方法。在采用密码技术之后,很多企业和个人都认为密码是保护系统和敏感数据访问安全的可靠方式。然而如今,这种身份验证形式背后的缺陷非常明显:它们不仅造成虚假的安全感,并在企业防御体系中留下重大漏洞。

因此,许多企业开始向“无密码”技术过渡。但是,对于无密码身份验证的确切分类仍然存在一些混淆。一些声称属于该类别的解决方案只是帮助用户保存并输入密码,或者将其替换为同样不安全的措施,例如一次性密码。

了解无密码解决方案的真正构成是企业迈向更安全未来的第一步,也是消除困扰用户的挫折感和耗时流程的第一步,用户只需通过这些过程来验证他们的身份。

密码背后的风险

获取密码是犯罪分子侵入商业网络和消费者账户的最常见方式之一。事实上,Verizon 公司发布的2021数据泄露调查报告发现,去年 61% 的泄露事件涉及登录凭据,目前已经被盗或入侵的帐户超过110亿个。

根本的缺陷是密码是一个“共享秘密”,这意味着人们都知道输入并存储了密码。这些密码由应用程序存储在数据库中,使其成为网络犯罪分子的主要目标。密码成为用户的代理标识,用户通常会选择与他们生活中的某些事情相关的密码,其中包括姓名和重要日期,以便于记忆。但这使得网络攻击者更容易猜测他们的密码并获取敏感数据。

近年来,犯罪分子比以往任何时候都更成功地欺骗目标以提供其各种帐户的登录详细信息。他们创建了模仿真实网站的虚假网站,可以窃取用户名和密码,然后登录其模仿的网站。他们还设计了在用户设备上运行的恶意软件,并在用户输入密码时窃取凭据。如果密码用于多个帐户,则盗取这个密码就可以进入多个系统。由于用户经常使用容易猜到的密码,例如他们最喜欢的足球队或电影角色,网络攻击者可以简单地使用暴力破解技术,将流行的密码系统地输入登录页面以获得访问权限。

虽然一些用户遵循了专家的建议并在密码生成器的帮助下选择了更复杂的密码,但他们仍然面临风险,因为前面提到的技术(网络钓鱼站点和凭据盗窃恶意软件)根本不在乎密码是4个字符长还是400个字符。

即使是安全存储密码的密码管理器也不是可靠的解决方案。当网络钓鱼电子邮件进入收件箱并且密码管理器自动将密码提交到虚假网络时,网络犯罪分子会仍然占据上风。这些方法让用户和企业认为它们比实际更安全。归根结底,依赖于“共享秘密”的身份验证可能并且将会被黑客入侵。

了解替代方案

鉴于密码的相关缺点、它们给用户带来的麻烦以及企业所承受的安全风险和管理开销(从密码重置到帐户恢复),应该寻找更简化、更安全的方法来验证用户及其身份战略安全优先事项。

但是在考虑 “无密码”的替代方案时,仍然应谨慎行事。任何使用共享秘密的方法都可能被黑客入侵。以多因素身份验证 (MFA) 的形式为密码添加另一种保护措施带来了挑战。除了它为用户创建的额外的、通常不方便的步骤之外,传统的多因素身份验证 (MFA)方法仍然依赖密码作为初始安全检查措施,因此安全链中的弱点并没有被消除。

网络犯罪分子可以通过中间人或端点攻击劫持密码和多因素身份验证 (MFA)代码,然后启动恶意会话。任何依赖于可能被盗的多个因素的多因素身份验证 (MFA)解决方案都不够安全,无法击败网络攻击者。

真正的无密码方法既消除了密码固有的安全风险,也消除了依赖密码或其他形式的共享机密的传统多因素身份验证 (MFA)方法。一个合理的方法是从登录流程、应用程序数据库和帐户恢复流程中消除密码,并采用本质上安全的东西代替它。替换密码最可靠的方法是使用经过验证的公共/私有密码,这样就不会交换共享秘密。这与用于以TLS形式保护互联网上的金融交易的方法相同。传输层安全(TLS)由浏览器中的锁定图标指示,证明用户正在与合法服务器进行通信,并且他们正在通过安全/专用通道进行通信。TLS使用公钥/私钥加密来验证服务器并设置安全通信通道。

基于公钥/私钥加密的无密码身份验证将私钥安全地存储在用户设备本身上。最安全的解决方案将密钥存储在专用硬件中,并且可在现代设备(电脑、手机和平板电脑)上使用,因此私钥永远不会离开设备,并且对所有各方都是未知的。公钥可用于用户希望访问的应用程序,但不能用于访问系统。在登录期间,使用私钥签名的证书被发送到服务器,在那里公钥用于验证证书是否由关联的私钥签名,从而在没有任何共享的秘密的情况下自信地验证用户。甚至用户都不知道私钥,因此没有任何可以记录和意外丢失或传递的内容。

结论

凭据泄露带来的风险是当今企业面临的最主要威胁之一。随着越来越多的IT和安全领导者意识到并修复密码造成的安全漏洞,人们更有可能防范意图入侵企业和窃取数据的网络犯罪分子。

采用无密码技术替换旧的解决方案是加强企业防御措施以及消除用户在验证过程中感到沮丧的基本方法。无密码的好处已经得到认可,更多的企业如今将走向更安全的未来,需要迅速迈向一个永远不必要求用户创建密码的世界。

 

来源:企业网D1Net内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯