日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

據(jù)Verizon 發(fā)布的《2020年數(shù)據(jù)泄露調(diào)查報(bào)告》顯示，超過(guò)80%的數(shù)據(jù)泄露都是黑客利用被盜密碼或弱密碼導(dǎo)致的。密碼安全對(duì)于企業(yè)，組織和個(gè)人用戶(hù)來(lái)說(shuō)都是非常重要的。但是，很多人并不重視密碼安全，甚至不知道什么是強(qiáng)密碼。那么，什么是密碼安全?強(qiáng)密碼和弱密碼是什么樣的?如果您的組織沒(méi)有高安全性密碼，會(huì)有哪些風(fēng)險(xiǎn)?除了創(chuàng)建強(qiáng)密碼外，還有其他方式解決密碼安全問(wèn)題嗎?

接下來(lái)，我們將一一解答，并在最后給出一些快速提高密碼安全的小竅門(mén)。

什么是密碼安全?

密碼安全是使密碼和身份驗(yàn)證方法更安全的策略、流程和技術(shù)的統(tǒng)稱(chēng)，要讓密碼安全關(guān)鍵是要知道如何保護(hù)密碼。密碼本身是一種存儲(chǔ)秘密的身份驗(yàn)證器。也就是說(shuō)只有您知道這個(gè)密碼，并用此密碼向第三方驗(yàn)證自己身份。其他身份驗(yàn)證器還包括加密設(shè)備、一次性密碼或PIN，以及密鑰訪問(wèn)卡。

什么樣的密碼才算是高安全性的呢?參考下方要求檢測(cè)一下吧!

• 能防止未經(jīng)授權(quán)的用戶(hù)訪問(wèn)受保護(hù)的系統(tǒng)、信息和數(shù)據(jù)。
• 密碼是否復(fù)雜的讓別人難以猜到或破解。
• 于您而言，密碼是否容易記住。
• 是否將密碼與他人分享。
• 是否以安全的方式存儲(chǔ)，防止密碼泄露。

雖然密碼直到20世紀(jì)60年代才被引入，但對(duì)于組織和用戶(hù)來(lái)說(shuō)，密碼已經(jīng)成為保障網(wǎng)絡(luò)與信息安全最有效、最經(jīng)濟(jì)的關(guān)鍵核心技術(shù)。但密碼安全對(duì)賬戶(hù)而言不僅僅是密碼本身，它還涉及保護(hù)這些密碼及其提供的訪問(wèn)權(quán)限的政策、程序、技術(shù)和培訓(xùn)。例如：

• 創(chuàng)建和執(zhí)行計(jì)算機(jī)使用策略和/或BYOD策略，明確指出哪些賬戶(hù)可以在哪些設(shè)備訪問(wèn)，要求使用虛擬專(zhuān)用網(wǎng)遠(yuǎn)程工作或連接到公共Wi-Fi等。
• 創(chuàng)建并執(zhí)行密碼策略，以解決特定的密碼創(chuàng)建、存儲(chǔ)和維護(hù)需求。
• 為員工提供培訓(xùn)和指導(dǎo)，以幫助他們了解建立安全密碼和遵循密碼管理最佳方法的重要性。

為什么密碼安全很重要?

據(jù)IDC的一份報(bào)告顯示，在2019年的IT和非IT調(diào)查受訪者中，有62%的人表示，人為錯(cuò)誤是企業(yè)業(yè)務(wù)面臨的主要網(wǎng)絡(luò)威脅。這種人為錯(cuò)誤主要是源于企業(yè)的普通員工創(chuàng)建簡(jiǎn)單密碼和共享密碼導(dǎo)致的，而不是那些高管或擁有特殊訪問(wèn)權(quán)限的員工。

關(guān)于密碼安全的重要性，還有哪些因素需要考慮?

法規(guī)合規(guī)性要求

遵從法規(guī)的合規(guī)性是所有組織都應(yīng)該關(guān)注的一個(gè)方面。有多種法規(guī)和監(jiān)管機(jī)構(gòu)要求組織滿足身份認(rèn)證和數(shù)據(jù)保護(hù)的特定標(biāo)準(zhǔn)，也有其他組織制定標(biāo)準(zhǔn)并提供指導(dǎo)使公司和其他組織可以嚴(yán)格遵從這些標(biāo)準(zhǔn)。例如：

國(guó)家標(biāo)準(zhǔn)技術(shù)研究院 (NIST) 是一個(gè)全球性的非監(jiān)管機(jī)構(gòu)，主要負(fù)責(zé)監(jiān)管美國(guó)聯(lián)邦政府附屬機(jī)構(gòu)和組織。多年來(lái)，NIST一直致力于在線身份驗(yàn)證和密碼安全研究，并制定了一套加強(qiáng)密碼安全性的準(zhǔn)則，它不僅僅是FBI，USDA和NSA等政府機(jī)構(gòu)必須遵守的準(zhǔn)則，也成為了很多企業(yè)遵循的密碼指南。

支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)是全球最嚴(yán)格、級(jí)別最高的金融機(jī)構(gòu)安全認(rèn)證標(biāo)準(zhǔn)，適用于所有涉及支付卡處理的實(shí)體，包括商戶(hù)、處理機(jī)構(gòu)、購(gòu)買(mǎi)者、發(fā)行商和服務(wù)提供商及儲(chǔ)存、處理或傳輸持卡人資料的所有其他實(shí)體。PCI DSS信息安全標(biāo)準(zhǔn)中強(qiáng)調(diào)身份認(rèn)證，并要求進(jìn)行密鑰管理，在數(shù)據(jù)傳輸過(guò)程中使用強(qiáng)效加密法和安全協(xié)議來(lái)保護(hù)數(shù)據(jù)。凡是涉及處理支付卡相關(guān)數(shù)據(jù)的組織都必須要遵守PCI DSS要求，如不遵從，那么該組織將會(huì)面臨巨額罰款。

歐盟的通用數(shù)據(jù)保護(hù)條例(GDRP)雖沒(méi)有特別提及密碼，但是在第28條中指出，數(shù)據(jù)處理者必須提供相應(yīng)的技術(shù)和措施以滿足本條例要求，確保數(shù)據(jù)主體權(quán)利得以安全保護(hù)。第25條規(guī)定，決定處理哪些數(shù)據(jù)以及如何處理數(shù)據(jù)的控制者也必須執(zhí)行此類(lèi)保護(hù)措施，以保護(hù)數(shù)據(jù)主體的權(quán)利。這就意味著凡是參與涉及個(gè)人數(shù)據(jù)處理的組織都必須采取安全措施來(lái)保護(hù)他們處理的數(shù)據(jù)。目前，使用強(qiáng)而獨(dú)特的密碼策略是安全措施中的最佳做法。

基于組織風(fēng)險(xiǎn)考慮

我們前面提到過(guò)，不安全的密碼和不良的密碼管理習(xí)慣會(huì)給組織增加釣魚(yú)攻擊和數(shù)據(jù)泄露的風(fēng)險(xiǎn)?？纯聪旅娴膸讉€(gè)案例就明白了。

美國(guó)聯(lián)邦調(diào)查局網(wǎng)絡(luò)犯罪投訴中心(IC3)在2019年的報(bào)告中稱(chēng)，商業(yè)電子郵件泄露和電子郵件賬戶(hù)泄露(BEC/EAC)犯罪造成了超過(guò)17億美元的損失。

2020年7月，Twitter頂級(jí)認(rèn)證用戶(hù)賬戶(hù)的泄露與憑證泄露有關(guān)。一名Twitter員工成為了這場(chǎng)社交工程攻擊的目標(biāo)，攻擊者使用該員工的憑證訪問(wèn)Twitter內(nèi)部系統(tǒng)，攻擊和破壞130個(gè)用戶(hù)賬戶(hù)(包括伊隆·馬斯克、巴拉克·奧巴馬、喬·拜登和比爾·蓋茨等名人賬戶(hù))，用比特幣的虛假承諾欺騙用戶(hù)。此次詐騙給受害者造成價(jià)值11.8萬(wàn)美元的比特幣損失。

弱密碼樣例

不安全的密碼各式各樣，但是很多都具備以下特點(diǎn)：包含常用的單詞，打字習(xí)慣，于自己而言非常重要的人的名字(如孩子或父母的名字)，有特殊意義的日期(如生日或紀(jì)念日)等等。

那么，最常用的弱密碼是什么樣的呢?根據(jù)CyberNews的報(bào)道，以下是全球最常用的10個(gè)密碼：

• 123456
• 123456789
• qwerty
• password
• 12345
• qwerty123
• 1q2w3e
• 12345678
• 111111
• 1234567890

如何確保密碼安全?

高安全性的密碼需要從哪些方面著手呢?

首先，設(shè)置的密碼足夠長(zhǎng)且復(fù)雜，還要易于記住。一般要求至少有12個(gè)字符，同時(shí)使用大寫(xiě)字母和小寫(xiě)字母，并包含一些隨機(jī)數(shù)字和特殊符號(hào)。采用密碼短語(yǔ)可以幫助您記住密碼，也可以使用數(shù)字和符號(hào)代替字母使密碼變得足夠復(fù)雜，如“H0use”代替“House”，“G@m3r”代替“Gamer”。

其次，強(qiáng)制要求用戶(hù)為每個(gè)賬戶(hù)創(chuàng)建唯一的密碼。如果用戶(hù)嘗試創(chuàng)建具有相同字母、數(shù)字、字符的新密碼，則阻止此憑證通過(guò)。另外，將密碼設(shè)置為密碼安全策略的一部分，即用戶(hù)必須為每個(gè)帳戶(hù)創(chuàng)建唯一的密碼，并且切勿與其他任何人共享密碼。

再者，選擇安全的密碼存儲(chǔ)方式保護(hù)密碼安全。在任何情況下不要使用純文本格式存儲(chǔ)密碼，建議使用經(jīng)過(guò)批準(zhǔn)的密碼管理器以確保所有密碼的安全。更安全的做法是存儲(chǔ)加鹽的哈希值，以防止暴力攻擊和彩虹表攻擊。

顯然，要確保高安全性密碼認(rèn)證需要做很多工作。那是否有一種可以幫助用戶(hù)更容易確保憑證安全，也便于企業(yè)IT團(tuán)隊(duì)安全管理的方式嗎?研究表明，通過(guò)簡(jiǎn)單便利的無(wú)密碼身份認(rèn)證的方法可以有效地協(xié)調(diào)用戶(hù)和業(yè)務(wù)需求。

無(wú)密碼身份認(rèn)證

與傳統(tǒng)的基于密碼的身份驗(yàn)證流程相比，無(wú)密碼身份認(rèn)證(Passwordless Authentication)更方便，更安全。當(dāng)前，有兩種方法可以做無(wú)密碼身份認(rèn)證。一種選擇是使用多因素身份認(rèn)證(MFA)，另一種是基于數(shù)字證書(shū)的身份認(rèn)證或基于PKI的身份認(rèn)證。

多因素身份認(rèn)證(MFA)

多因素身份認(rèn)證(MFA)是一種更安全，多層次的防御系統(tǒng)，這種機(jī)制需要您提供兩種或多種類(lèi)型的獨(dú)立憑證：

• 您知道的東西(如密碼或PIN)
• 您擁有的東西(如手機(jī)APP，安全性令牌或者智能卡)
• 您是誰(shuí)(生物識(shí)別驗(yàn)證，如指紋識(shí)別，面部識(shí)別，視網(wǎng)膜掃描，語(yǔ)音識(shí)別)。

基于數(shù)字證書(shū)的身份認(rèn)證

基于PKI的認(rèn)證方法比傳統(tǒng)的MFA方法更安全。PKI作為網(wǎng)絡(luò)安全的基礎(chǔ)設(shè)施，是集加密技術(shù)、系統(tǒng)、流程和策略的統(tǒng)稱(chēng)?；谧C書(shū)的設(shè)備身份認(rèn)證將PKI數(shù)字證書(shū)與信任模型(TPM)結(jié)合使用，即在設(shè)備上安裝一個(gè)數(shù)字證書(shū)，該證書(shū)將組織或個(gè)人的身份與該設(shè)備聯(lián)系在一起，從而提供了客戶(hù)端身份驗(yàn)證，讓您的設(shè)備向服務(wù)器證實(shí)其身份，而不必輸入密碼。

基于PKI的無(wú)密碼身份認(rèn)證的優(yōu)點(diǎn)如下：

• 用戶(hù)不再需要?jiǎng)?chuàng)建或記住復(fù)雜的密碼，因?yàn)閿?shù)字證書(shū)無(wú)需密碼來(lái)驗(yàn)證用戶(hù)身份。
• 勿需擔(dān)心錯(cuò)誤的密碼存儲(chǔ)方法帶來(lái)的風(fēng)險(xiǎn)。
• 不會(huì)成為網(wǎng)絡(luò)釣魚(yú)和其他憑證攻擊的犧牲品。

提高密碼安全性的6個(gè)小竅門(mén)

綜上所述，基于密碼的身份驗(yàn)證并不是一種萬(wàn)能的方法。在這里，提供幾個(gè)小竅門(mén)讓您的密碼安全更有效。

• 不要與他人共享您的登錄信息。即使您精心創(chuàng)建了一個(gè)強(qiáng)而復(fù)雜的密碼，也并不意味在與他人共享后還能確保您的登錄憑證安全。
• 不要在多個(gè)帳戶(hù)中重復(fù)使用相同的密碼。大多數(shù)用戶(hù)常犯的一個(gè)錯(cuò)誤是在多個(gè)帳戶(hù)之間重復(fù)使用相同密碼。如果該密碼遭到泄露、釣魚(yú)攻擊或被盜，那意味著使用該密碼的其他帳戶(hù)都將有同樣的風(fēng)險(xiǎn)。
• 使用長(zhǎng)的密碼短語(yǔ)代替復(fù)雜又難記的密碼。長(zhǎng)的密碼短語(yǔ)比復(fù)雜的密碼更容易讓用戶(hù)記住。對(duì)于不依賴(lài)密碼管理器的用戶(hù)來(lái)說(shuō)，這樣的密碼更有效。
• 阻止用戶(hù)使用違規(guī)列表中的密碼。請(qǐng)阻止用戶(hù)使用可在公共數(shù)據(jù)泄露列表中能查到的憑證密碼!
• 確保企業(yè)組織正確存儲(chǔ)密碼哈希值。請(qǐng)不要直接用明文格式存儲(chǔ)密碼，而應(yīng)存儲(chǔ)密碼哈希值，并使用哈希加鹽法為密碼加密，這樣不僅使密碼可以抵抗暴力攻擊，而且可以防止彩虹表攻擊。
• 選擇基于數(shù)字證書(shū)的身份認(rèn)證方式，徹底擺脫繁瑣而又不安全的密碼。

當(dāng)前標(biāo)題：密碼安全那些事兒
路徑分享：http://www.5511xx.com/article/dpjsioi.html