審校|孫淑娟
密碼是用于確保安全訪問(wèn)系統(tǒng)的最基本、最常用的身份驗(yàn)證方法。但是為眾多平臺(tái)使用和維護(hù)安全密碼的過(guò)程可能相當(dāng)乏味。據(jù)Verizon發(fā)布的《2020年數(shù)據(jù)泄露調(diào)查報(bào)告》顯示,薄弱、重復(fù)使用的密碼導(dǎo)致了81%的數(shù)據(jù)泄露事件。除此之外,還有更多與密碼有關(guān)的漏洞和風(fēng)險(xiǎn),如今密碼成了一種越來(lái)越不合適的身份驗(yàn)證方案。
一、密碼的三大問(wèn)題
人類行為和密碼——許多人圖方便而不是圖安全。使用簡(jiǎn)單、易記的密碼,或者在所有不同的平臺(tái)上使用同一個(gè)密碼是很常見(jiàn)的做法。此外,共享密碼和使用不安全的方法存儲(chǔ)密碼是導(dǎo)致大多數(shù)密碼攻擊的主要原因。做好適當(dāng)安全的密碼保護(hù)既是您個(gè)人的責(zé)任,也是貴組織的責(zé)任。
復(fù)雜的管理——許多組織設(shè)置的密碼策略要求員工經(jīng)常更改密碼、記住多個(gè)復(fù)雜的密碼,并在忘記密碼時(shí)重新設(shè)置密碼,這一切花費(fèi)大量的時(shí)間和支持資源。對(duì)于員工來(lái)說(shuō),在處理密碼時(shí),其中許多程序效率低下、不方便且不現(xiàn)實(shí)。這也給IT部門帶來(lái)了解決密碼相關(guān)問(wèn)題方面的巨大負(fù)擔(dān)。同樣,個(gè)人也為流行的網(wǎng)站和應(yīng)用程序在密碼方面的諸多要求而苦惱。
越來(lái)越多的密碼泄露——據(jù)安全網(wǎng)站HackerNoon報(bào)道,1400萬(wàn)個(gè)密碼中80%以上可以在短短20小時(shí)內(nèi)被破解。如今攻擊者擁有強(qiáng)大的工具和程序,可以專門破解密碼。然后,所有泄露的密碼都被發(fā)布在暗網(wǎng)上,用于撞庫(kù)和密碼噴灑等攻擊。
二、密碼攻擊類型
密碼攻擊包括通過(guò)各種技術(shù)和攻擊工具利用系統(tǒng)授權(quán)漏洞。威脅分子使用強(qiáng)大的攻擊實(shí)現(xiàn)自動(dòng)化,主要在短時(shí)間內(nèi)大規(guī)模攻擊特權(quán)帳戶。作為一名安全專業(yè)人員,有必要了解一些最流行的攻擊類型及其防御方法:
1、社會(huì)工程和人類發(fā)起的攻擊
網(wǎng)絡(luò)釣魚攻擊——這是最常見(jiàn)的社會(huì)工程密碼攻擊。它們使用各種方法引誘用戶點(diǎn)擊惡意鏈接。避免網(wǎng)絡(luò)釣魚攻擊的一些最佳方法包括尋找可疑的電子郵件標(biāo)題、主題、附件和鏈接。拼寫錯(cuò)誤、域名拼寫混亂、偽造標(biāo)志以及寫得不好的電子郵件也表明來(lái)源可疑。
竊聽(tīng)和背后偷窺——竊聽(tīng)是指通過(guò)語(yǔ)音或數(shù)字手段泄露密碼。您是否無(wú)意中偷聽(tīng)到有人在打電話時(shí)背誦機(jī)密信息?犯罪分子會(huì)利用這種粗心的行為,收集盡可能多的信息。遵循適當(dāng)?shù)陌踩龇ㄒ约傲己玫碾娫挾Y儀,可以防止您成為竊聽(tīng)的受害者。
背后偷窺指攻擊者通過(guò)觀察一個(gè)人在鍵盤上輸入密碼或PIN碼來(lái)獲取憑據(jù)。在偷手機(jī)之前,手機(jī)竊賊可能偷看您輸入或者刷屏幕鎖碼,這讓您的數(shù)據(jù)處于危險(xiǎn)之中。對(duì)周圍的人保持警惕,解鎖設(shè)備時(shí)擋住屏幕可以保護(hù)您的信息。
2、猜測(cè)密碼的攻擊
字典攻擊——使用預(yù)定義的單詞列表,單詞來(lái)自以前泄密事件中的密碼。字典攻擊中使用的攻擊工具可以為密碼添加更多的后綴和前綴,猜測(cè)攻擊目標(biāo)的特征,進(jìn)一步增加了破解密碼的機(jī)會(huì)。
蠻力攻擊——一種嘗試所有可能的密碼組合的試錯(cuò)方法。抵御蠻力破解的最好方法是使用長(zhǎng)密碼,而不是標(biāo)準(zhǔn)密碼。
密碼噴灑攻擊——威脅分子嘗試使用同一個(gè)密碼訪問(wèn)多個(gè)帳戶,然后再嘗試另一個(gè)密碼。這種攻擊不會(huì)引起任何懷疑,因?yàn)橥{分子將攻擊分散在多個(gè)帳戶當(dāng)中,而不是針對(duì)單個(gè)帳戶進(jìn)行多次攻擊。這種攻擊在管理員未能更改默認(rèn)密碼的網(wǎng)站和平臺(tái)上最為成功。
三、如何防止密碼攻擊?
組織可以為密碼管理設(shè)置強(qiáng)大的安全協(xié)議和機(jī)制,以應(yīng)對(duì)現(xiàn)代威脅和攻擊。個(gè)人也可以養(yǎng)成良好的密碼保護(hù)習(xí)慣。據(jù)NIST指南顯示,建議使用長(zhǎng)度為8個(gè)至64個(gè)字符的密碼和長(zhǎng)密碼短語(yǔ)。密碼短語(yǔ)可以阻止蠻力攻擊,它們并不與密碼字典中的條目匹配,也不包含個(gè)人身份信息。使用密碼管理軟件以避免重復(fù)使用密碼,只有在密碼泄露或遺忘時(shí)才重置密碼。
啟用多因素身份驗(yàn)證(MFA)是對(duì)帳戶的最佳保護(hù)。使用密碼作為唯一的身份驗(yàn)證機(jī)制會(huì)帶來(lái)巨大的安全風(fēng)險(xiǎn)。一次性密碼(OTP)、硬件令牌和身份驗(yàn)證應(yīng)用程序?qū)⑻岣吣膫€(gè)人安全性。
四、密碼的未來(lái)
由于基于密碼的攻擊越來(lái)越多,未來(lái)很可能會(huì)使用無(wú)密碼身份驗(yàn)證。無(wú)密碼身份驗(yàn)證本質(zhì)上更安全,因?yàn)闆](méi)有傳統(tǒng)意義上的密碼被泄露。最常見(jiàn)的無(wú)密碼身份驗(yàn)證方法是生物特征識(shí)別、OTP碼、推送通知和神奇鏈接。神奇鏈接是一種方法,它不向用戶請(qǐng)求密碼,而是創(chuàng)建支持登錄的唯一鏈接,并通過(guò)電子郵件發(fā)送。
五、結(jié)論
密碼已經(jīng)成為一種過(guò)時(shí)的身份驗(yàn)證方法,容易受到許多威脅和攻擊。僅使用基于密碼的身份驗(yàn)證方法現(xiàn)在被認(rèn)為不太安全,因?yàn)榇嬖跓o(wú)數(shù)可用的密碼攻擊。雖然組織有特殊的工具來(lái)執(zhí)行良好的身份驗(yàn)證策略,但個(gè)人也應(yīng)該提高帳戶安全性。采用MFA和基于無(wú)密碼的身份驗(yàn)證方法是一種簡(jiǎn)單又免費(fèi)的方法,可以立即保護(hù)您的帳戶。
原文鏈接:https://www.tripwire.com/state-of-security/are-passwords-really-safe-we-think
