據(jù)Verizon 發(fā)布的《2020年數(shù)據(jù)泄露調(diào)查報告》顯示， 超過80%的數(shù)據(jù)泄露都是黑客利用被盜密碼或弱密碼導(dǎo)致的。  密碼安全對于企業(yè)，組織和個人用戶來說都是非常重要的。但是，很多人并不重視密碼安全，甚至不知道什么是強密碼。那么，什么是密碼安全？強密碼和弱密碼是什么樣的？如果您的組織沒有高安全性密碼，會有哪些風(fēng)險?除了創(chuàng)建強密碼外，還有其他方式解決密碼安全問題嗎?

接下來，銳成信息將一一解答，并在最后給出一些快速提高密碼安全的小竅門。

什么是密碼安全？

密碼安全是使密碼和身份驗證方法更安全的策略、流程和技術(shù)的統(tǒng)稱，要讓密碼安全關(guān)鍵是要知道如何保護密碼。密碼本身是一種存儲秘密的身份驗證器。也就是說只有您知道這個密碼，并用此密碼向第三方驗證自己身份。其他身份驗證器還包括加密設(shè)備、一次性密碼或PIN，以及密鑰訪問卡。

什么樣的密碼才算是高安全性的呢？參考下方要求檢測一下吧！

• 防止未經(jīng)授權(quán)的用戶訪問受保護的系統(tǒng)、信息和數(shù)據(jù)。
• 密碼是否復(fù)雜的讓別人難以猜到或破解。
• 于您而言，密碼是否容易記住。
• 是否將密碼與他人分享。
• 是否以安全的方式存儲，防止密碼泄露。

雖然密碼直到20世紀(jì)60年代才被引入，但對于組織和用戶來說，密碼已經(jīng)成為保障網(wǎng)絡(luò)與信息安全最有效、最經(jīng)濟的關(guān)鍵核心技術(shù)。但密碼安全對賬戶而言不僅僅是密碼本身，它還涉及保護這些密碼及其提供的訪問權(quán)限的政策、程序、技術(shù)和培訓(xùn)。例如:

• 創(chuàng)建和執(zhí)行計算機使用策略和/或BYOD策略，明確指出哪些賬戶可以在哪些設(shè)備上訪問，要求使用VPN遠(yuǎn)程工作或連接到公共Wi-Fi等。
• 創(chuàng)建并執(zhí)行密碼策略，以解決特定的密碼創(chuàng)建、存儲和維護需求。
• 為員工提供培訓(xùn)和指導(dǎo)，以幫助他們了解建立安全密碼和遵循密碼管理最佳方法的重要性。

為什么密碼安全很重要？

據(jù)IDC的一份報告顯示，在2019年的IT和非IT調(diào)查受訪者中，有62%的人表示，人為錯誤是企業(yè)業(yè)務(wù)面臨的主要網(wǎng)絡(luò)威脅。這種人為錯誤主要是源于企業(yè)的普通員工創(chuàng)建簡單密碼和共享密碼導(dǎo)致的，而不是那些高管或擁有特殊訪問權(quán)限的員工。

關(guān)于密碼安全的重要性，還有哪些因素需要考慮？

法規(guī)合規(guī)性要求

遵從法規(guī)的合規(guī)性是所有組織都應(yīng)該關(guān)注的一個方面。有多種法規(guī)和監(jiān)管機構(gòu)要求組織滿足身份認(rèn)證和數(shù)據(jù)保護的特定標(biāo)準(zhǔn)，也有其他組織制定標(biāo)準(zhǔn)并提供指導(dǎo)使公司和其他組織可以嚴(yán)格遵從這些標(biāo)準(zhǔn)。例如：

國家標(biāo)準(zhǔn)技術(shù)研究院 (NIST) 是一個全球性的非監(jiān)管機構(gòu)，主要負(fù)責(zé)監(jiān)管美國聯(lián)邦政府附屬機構(gòu)和組織。多年來，NIST一直致力于在線身份驗證和密碼安全研究，并制定了一套加強密碼安全性的準(zhǔn)則，它不僅僅是FBI，USDA和NSA等政府機構(gòu)必須遵守的準(zhǔn)則，也成為了很多企業(yè)遵循的密碼指南。

支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)是全球最嚴(yán)格、級別最高的金融機構(gòu)安全認(rèn)證標(biāo)準(zhǔn)，適用于所有涉及支付卡處理的實體，包括商戶、處理機構(gòu)、購買者、發(fā)行商和服務(wù)提供商及儲存、處理或傳輸持卡人資料的所有其他實體。PCI DSS信息安全標(biāo)準(zhǔn)中強調(diào)身份認(rèn)證，并要求進行密鑰管理，在數(shù)據(jù)傳輸過程中使用強效加密法和安全協(xié)議來保護數(shù)據(jù)。凡是涉及處理支付卡相關(guān)數(shù)據(jù)的組織都必須要遵守PCI DSS要求，如不遵從，那么該組織將會面臨巨額罰款。

歐盟的通用數(shù)據(jù)保護條例（GDRP）雖沒有特別提及密碼，但是在第28條中指出，數(shù)據(jù)處理者必須提供相應(yīng)的技術(shù)和措施以滿足本條例要求，確保數(shù)據(jù)主體權(quán)利得以安全保護。第25條規(guī)定，決定處理哪些數(shù)據(jù)以及如何處理數(shù)據(jù)的控制者也必須執(zhí)行此類保護措施，以保護數(shù)據(jù)主體的權(quán)利。這就意味著凡是參與涉及個人數(shù)據(jù)處理的組織都必須采取安全措施來保護他們處理的數(shù)據(jù)。目前，使用強而獨特的密碼策略是安全措施中的最佳做法。

基于組織風(fēng)險考慮

我們前面提到過，不安全的密碼和不良的密碼管理習(xí)慣會給組織增加釣魚攻擊和數(shù)據(jù)泄露的風(fēng)險?？纯聪旅娴膸讉€案例就明白了。

美國聯(lián)邦調(diào)查局網(wǎng)絡(luò)犯罪投訴中心(IC3)在2019年的報告中稱，商業(yè)電子郵件泄露和電子郵件賬戶泄露（BEC/EAC）犯罪造成了超過17億美元的損失。為了避免類似的情況發(fā)生，銳成信息強烈建議您采用郵件安全解決方案，防止郵件信息泄露。

2020年7月，Twitter頂級認(rèn)證用戶賬戶的泄露與憑證泄露有關(guān)。一名Twitter員工成為了這場社交工程攻擊的目標(biāo)，攻擊者使用該員工的憑證訪問Twitter內(nèi)部系統(tǒng)，攻擊和破壞130個用戶賬戶(包括伊隆·馬斯克、巴拉克·奧巴馬、喬·拜登和比爾·蓋茨等名人賬戶)，用比特幣的虛假承諾欺騙用戶。此次詐騙給受害者造成價值11.8萬美元的比特幣損失。

弱密碼樣例

不安全的密碼各式各樣，但是很多都具備以下特點：包含常用的單詞，打字習(xí)慣，于自己而言非常重要的人的名字(如孩子或父母的名字)，有特殊意義的日期(如生日或紀(jì)念日)等等。

那么，最常用的弱密碼是什么樣的呢?根據(jù)CyberNews的報道，以下是全球最常用的10個密碼：

1. 123456
2. 123456789
3. qwerty
4. password
5. 12345
6. qwerty123
7. 1q2w3e
8. 12345678
9. 111111
10. 1234567890

如何確保密碼安全？

高安全性的密碼需要從哪些方面著手呢？

首先，設(shè)置的密碼足夠長且復(fù)雜，還要易于記住。一般要求至少有12個字符，同時使用大寫字母和小寫字母，并包含一些隨機數(shù)字和特殊符號。采用密碼短語可以幫助您記住密碼，也可以使用數(shù)字和符號代替字母使密碼變得足夠復(fù)雜，如“H0use”代替“House”，“[email protected]”代替“Gamer”。

其次，強制要求用戶為每個賬戶創(chuàng)建唯一的密碼。如果用戶嘗試創(chuàng)建具有相同字母、數(shù)字、字符的新密碼，則阻止此憑證通過。另外，將密碼設(shè)置為密碼安全策略的一部分，即用戶必須為每個帳戶創(chuàng)建唯一的密碼，并且切勿與其他任何人共享密碼。

再者，選擇安全的密碼存儲方式保護密碼安全。在任何情況下不要使用純文本格式存儲密碼，建議使用經(jīng)過批準(zhǔn)的密碼管理器以確保所有密碼的安全。更安全的做法是存儲加鹽的哈希值，以防止暴力攻擊和彩虹表攻擊。

顯然，要確保高安全性密碼認(rèn)證需要做很多工作。那是否有一種可以幫助用戶更容易確保憑證安全，也便于企業(yè)IT團隊安全管理的方式嗎？研究表明，通過簡單便利的無密碼身份認(rèn)證的方法可以有效地協(xié)調(diào)用戶和業(yè)務(wù)需求。

無密碼身份認(rèn)證

與傳統(tǒng)的基于密碼的身份驗證流程相比，無密碼身份認(rèn)證（Passwordless Authentication）更方便，更安全。當(dāng)前，有兩種方法可以做無密碼身份認(rèn)證。一種選擇是使用多因素身份認(rèn)證(MFA)，另一種是基于數(shù)字證書的身份認(rèn)證或基于PKI的身份認(rèn)證。

多因素身份認(rèn)證（MFA）

多因素身份認(rèn)證（MFA）是一種更安全，多層次的防御系統(tǒng)，這種機制需要您提供兩種或多種類型的獨立憑證：

• 您知道的東西（如密碼或PIN）
• 您擁有的東西（如手機APP，安全性令牌或者智能卡）
• 您是誰（生物識別驗證，如指紋識別，面部識別，視網(wǎng)膜掃描，語音識別）。

基于數(shù)字證書的身份認(rèn)證

基于PKI的認(rèn)證方法比傳統(tǒng)的MFA方法更安全。PKI作為網(wǎng)絡(luò)安全的基礎(chǔ)設(shè)施，是集加密技術(shù)、系統(tǒng)、流程和策略的統(tǒng)稱?；谧C書的設(shè)備身份認(rèn)證將PKI數(shù)字證書與信任模型(TPM)結(jié)合使用，即在設(shè)備上安裝一個數(shù)字證書，該證書將組織或個人的身份與該設(shè)備聯(lián)系在一起，從而提供了客戶端身份驗證，讓您的設(shè)備向服務(wù)器證實其身份，而不必輸入密碼。

基于PKI的無密碼身份認(rèn)證的優(yōu)點如下：

• 用戶不再需要創(chuàng)建或記住復(fù)雜的密碼，因為數(shù)字證書無需密碼來驗證用戶身份。
• 勿需擔(dān)心錯誤的密碼存儲方法帶來的風(fēng)險。
• 不會成為網(wǎng)絡(luò)釣魚和其他憑證攻擊的犧牲品。

提高密碼安全性的6個小竅門

綜上所述，基于密碼的身份驗證并不是一種萬能的方法。在這里，銳成信息提供幾個小竅門讓您的密碼安全更有效。

• 不要與他人共享您的登錄信息。即使您精心創(chuàng)建了一個強而復(fù)雜的密碼，也并不意味在與他人共享后還能確保您的登錄憑證安全。
• 不要在多個帳戶中重復(fù)使用相同的密碼。大多數(shù)用戶常犯的一個錯誤是在多個帳戶之間重復(fù)使用相同密碼。如果該密碼遭到泄露、釣魚攻擊或被盜，那意味著使用該密碼的其他帳戶都將有同樣的風(fēng)險。
• 使用長的密碼短語代替復(fù)雜又難記的密碼。長的密碼短語比復(fù)雜的密碼更容易讓用戶記住。對于不依賴密碼管理器的用戶來說，這樣的密碼更有效。
• 阻止用戶使用違規(guī)列表中的密碼。請阻止用戶使用可在公共數(shù)據(jù)泄露列表中能查到的憑證密碼！
• 確保企業(yè)組織正確存儲密碼哈希值。請不要直接用明文格式存儲密碼，而應(yīng)存儲密碼哈希值，并使用哈希加鹽法為密碼加密，這樣不僅使密碼可以抵抗暴力攻擊，而且可以防止彩虹表攻擊。
• 選擇基于數(shù)字證書的身份認(rèn)證方式，徹底擺脫繁瑣而又不安全的密碼。

關(guān)于銳成信息

銳成信息是國內(nèi)領(lǐng)先的PKI服務(wù)商，提供基于PKI數(shù)字證書技術(shù)的解決方案，便于終端用戶身份認(rèn)證，簡化企業(yè)密碼安全管理任務(wù)，更好地幫助企業(yè)維護密碼安全！