密码已成为几乎每个人日常生活的一部分。我们将它们用作我们的数字安全代码,保护我们的数据、金钱、个人信息和帐户。随着网络犯罪分子不断开发新的策略来利用数字身份和关键信息,保护我们的数字资产和确保强大的密码安全性的重要性变得比以往任何时候都更加重要。在我们纪念世界密码日之际,是时候反思网络安全的这一基石,看看可以做些什么来保护组织的安全。
网络威胁的日益复杂表明,密码安全不仅仅是创建一个强密码;这是关于培养一种渗透到组织各个层面的安全文化。虽然旧规则保持不变,并且要注意密码的存储位置,或者警惕在不安全的站点上输入密码,例如那些没有证书颁发机构证书保护的站点或通过不受信任的网络,但重要的是要注意更复杂的安全演变及其所代表的威胁。
确保组织的密码卫生
实现更强密码的第一步是确保组织中的强密码卫生文化。密码卫生是选择、管理和维护强密码以保护帐户和系统免受网络犯罪分子侵害的做法。
这包括但不限于:
- 密码创建 – 确保它们不明显、不常见或不容易被黑客入侵。根据NordPass的说法,最常见的密码仍然是123456的,可以在不到一秒钟的时间内被破解。密码越长越好 - 密码长度会成倍地影响破解密码所需的时间,并且混合了特殊字符和数字的较长密码通过暴力攻击被破坏的可能性要小得多。
- 账户变更 – 选择唯一密码 - 13%的用户对每个帐户重复使用相同的密码,52%的用户对某些帐户重复使用密码。密码重用可以使单个帐户很容易被破坏,因为一旦密码暴露在一个帐户上,它就会有效地访问所有帐户
- 密码安全 –无论您与谁交谈,保持个人密码的私密性都很重要。值得记住的是,即使您认识您委托处理该信息的人,并且他们没有任何恶意,任何数字通信都存在被拦截和阅读的风险,例如通过不安全的电子邮件
糟糕的密码卫生可能会导致代价高昂的后果,例如数据泄露或拒绝服务(DoS)攻击。安全管理员必须定期投入时间和资源来教育用户了解密码卫生的重要性,因为这可以大大减轻漏洞的影响。
密码如何被泄露?
首先,重要的是要首先确认密码可能被泄露的方式。在寻求访问安全信息时,黑客可能会尝试几种方法,最常见的方法如下:
- 蛮力攻击:攻击者将使用试错法来尝试猜测登录信息、加密密钥或隐藏网页的正确组合,通常是通过生成系统。暴力攻击有许多变体,但一般来说,这些系统通常会首先猜测常见的密码名称,并测试各种变体以通过。如果您使用的密码不超过6个字符,则可以在几个小时内完成,如果您的密码很简单,甚至可以立即完成。
- 网络钓鱼攻击:攻击者声称来自信誉良好的公司,以获取敏感和机密数据的访问权限,或部署勒索软件等恶意软件。 网络钓鱼攻击是公司遭受数据泄露的主要原因之一,因为它们很难预防,依赖于员工的意识和教育。
- 撞库:不良行为者获取从先前数据泄露中获得的凭据,并尝试登录到另一个服务。过去,个人电子邮件很可能在某种形式的数据泄露中遭到破坏,如果密码相似或相同,这可能会为进一步访问与该地址绑定的其他帐户打开大门。
一个合适的密码,遵循基本的密码卫生,以确保它不容易被破坏,可以帮助防止你的组织中的大量数据丢失,但它仍然不是万无一失的——在英国,一半的企业报告说在2023年经历了某种形式的网络安全漏洞。那么,如果仅靠密码感知还不够,您还能依靠什么呢?
什么是哈希?
哈希是获取输入,然后将其转换为相同长度的随机字符串。哈希允许您隐藏原始输入值中包含的范围和信息。这使您能够验证数据并保护您的密码免受不同类型的攻击。
例如,某些DoS攻击方法(例如字典攻击,它们查找密码中经常使用的特定单词)对哈希密码无效,因为密码输入会因哈希而随机化。哈希还可用于加密货币的安全存储,因为它们可以为您的加密钱包帐户使用的密码添加另一层加密。
密码加盐
密码加盐与哈希结合使用。在对密码进行加盐处理时,在对每个密码进行哈希处理之前,会向每个密码添加随机整数和字符串。盐是一个随机的、相当大的值,在使用安全随机数生成器或随机位生成器时生成。 盐与服务器上的每个密码哈希值一起存储,从而为密码创建唯一的哈希值。
结合加盐和散列
加盐密码哈希比明文密码或未加盐哈希更安全,因为它们结合了加盐的强度和哈希的弹性。黑客将无法在您的数据库中查找与通用或共享密码一致的密码或其相应的哈希值。此外,加盐密码哈希太不切实际且笨拙,无法根据具体情况确定。
至关重要的是,不良行为者无法辨别已使用的盐,因此它们必须是唯一的,并且在被散列之前随机生成。目标是创建一个哈希值,该哈希值很难使用单个盐来计算每个密码。
这可以防止不良行为者利用脚本和AI来破解您的哈希值和加盐密码。这可用于使数据库更加安全,并且当与多因素身份验证器的安全性结合使用时,使破坏帐户变得极其困难。
多重身份验证(MFA)
创建强密码很重要,但无论如何,这仍然会使您或您的组织容易受到攻击,即使是最强的密码也容易被泄露。合格密码是那些长而复杂的密码,结合使用字母、数字、大小写和特殊字符,但即使这些也不足以单独防止攻击者。组织应实施多重身份验证,以提供强大的数字安全性。
它提高了系统的安全性,以确保大多数来源几乎不可能发生违规行为。Microsoft估计MFA可以阻止 99.9% 的帐户入侵攻击。使用MFA是可用于防止违规的最佳防御措施,并且应该是任何组织在管理其安全性时的首要任务。
确保您的密码安全
鉴于网络安全面临的威胁不断增加,重要的是要认识到保护密码不是一次性的努力,而是对安全的持续承诺。它采用全面的帐户安全方法,以确保组织能够加强对网络威胁的防御,并继续保护其数字资产的完整性和机密性。
在不断发展的数字身份和安全领域,我们的密码只是您的组织与潜在漏洞之间的一层安全保护。密码保护需要良好的组织安全教育、警惕文化和积极主动的安全实践方法。当我们展望未来时,让世界密码日提醒我们,强大的密码安全在保护我们的数字世界方面发挥着关键作用。