En 400-6655-581
5
返回列表
> 資源中心 > 文章>產(chǎn)品>MFA(多因素認證)> 1億個密碼遭泄漏,“最弱密碼”繼續(xù)領跑,企業(yè)“弱密碼”亟需消滅!

1億個密碼遭泄漏,“最弱密碼”繼續(xù)領跑,企業(yè)“弱密碼”亟需消滅!

文章

2024-01-23瀏覽次數(shù):321

IT之家 1 月 20 日消息,安全研究人員發(fā)現(xiàn)了有史以來最大的密碼泄露事件之一,包含 7084 萬個電子郵件地址以及超過 1 億個密碼憑證,至少有超過 40 萬 Have I Been Pwned(HIBP)用戶受到影響。

 

一直以來,身份與訪問管理(IAM)就是企業(yè)數(shù)據(jù)安全的重災區(qū),而“弱密碼”更是震中。據(jù)2023年11月,NordPass 公布的 2023 年最常用的 200 個密碼。不出所料,“123456”繼續(xù)領跑年度“最弱密碼”榜首!

 

早在2011年,美國某密碼管理應用程序提供商就開始統(tǒng)計年度“最弱密碼”榜單,“123456”就是其中的“老主顧”,且一直位列“前茅”。而這樣的弱密碼往往只需要使用簡單的暴力破解工具在1秒內(nèi)即可破解。

 

盡管,我們都非常清楚地知道弱密碼的危害大、破壞強、影響廣......可為什么弱密碼現(xiàn)象卻總是在企業(yè)中屢禁不止呢?

 

 

 

01

弱密碼現(xiàn)象為何屢禁不止?

 

回答這個問題之前,我們首先來了解下什么是弱密碼?顧名思義,弱密碼簡單理解就是容易破譯的密碼。這樣的密碼往往具備以下幾點特征:

 

1、密碼長度少于8個字符;

2、字典中的單詞;

3、多為簡單數(shù)字組合、帳號與數(shù)字組合、鍵盤上臨近鍵或常見姓名,如“123456”等;

4、默認密碼,例如無線路由器常見的初始密碼admin;

5、姓名、生日、QQ、電話號碼、郵箱等,或它們的組合。

 

仔細回想一下,你設置的密碼是不是基本逃不出這5大特征?

 

既然我們了解了弱密碼的特征,那改掉不就行了嗎?可事實卻是,改掉并沒有想象中的那么容易。

 

眾所周知,企業(yè)為了滿足國家政策法規(guī)對密碼安全要求,減輕員工賬號密碼負擔,做了很多努力。

 

例如,上線單點登錄系統(tǒng),實現(xiàn)一個賬號密碼即可登錄所有業(yè)務系統(tǒng),減輕密碼記憶負擔;設置密碼長度,要求密碼區(qū)大小寫、添加符號,強制定期改密等防范技術措施......

 

然而,哪怕是每個人一個密碼,企業(yè)弱密碼現(xiàn)象也仍是普遍存在。因為人習慣于記憶那些有一定規(guī)律的數(shù)字或字母符合等組合的心理現(xiàn)象是不會變的。

 

更何況除了人,企業(yè)網(wǎng)絡中還有各種安全設備、網(wǎng)絡設備、應用系統(tǒng)等每天在產(chǎn)生大量密碼!

 

 

 

02

不用密碼就沒有所謂的弱密碼

 

那是否就消除不了企業(yè)弱密碼現(xiàn)象呢?答案是否定的。

 

因為身份認證的憑據(jù)從來不只密碼一種。我們每個人都是一個行走的“密碼庫”,每個人的“所知(我知道而你不知道)、所持(我持有的東西你沒有)、所有(我獨有特征你沒有)”,都可以作為身份認證的憑據(jù)。

 

所以,針對人,企業(yè)可以采用派拉軟件提供的多因素認證平臺。平臺支持以下多種登錄認證方式,企業(yè)可按需設置:

 

01

圖片

賬號登錄

 

支持用戶名+密碼、郵箱+密碼、手機號+密碼、自定義屬性+密碼,記住密碼;

 

02

圖片

驗證碼登錄

 

支持手機短信、釘釘消息、企業(yè)微信消息、微信公眾號消息驗證碼登錄系統(tǒng);可以設置發(fā)送策略,支持圖形驗證碼和滑塊驗證碼進行消息接口保護;

 

03

圖片

動態(tài)口令登錄

 

支持在線OTP ,離線OTP;支持標準 radius 協(xié)議 OTP 認證;

 

04

圖片

生物識別

 

支持人臉識別、指紋識別、聲紋識別方式登錄系統(tǒng);

 

05

圖片

APP掃碼登錄

 

支持安卓 APP、iOSAPP ,小程序掃碼登錄;

 

06

圖片

互聯(lián)網(wǎng)登錄

 

微信登錄, 企業(yè)微信登錄, QQ 登錄, 釘釘?shù)卿洠?nbsp;公眾號關注登錄, 飛書登錄, 抖音登錄, 微博登錄, 淘寶登錄, 支付寶登錄,通過規(guī)范文檔開發(fā),自定義集成第三方登錄。

 

......

 

圖片

 

這些登錄認證方式不僅加強了安全能力,還提升了員工的登錄體驗,同時還可以直接消除密碼。沒有了密碼,自然也就沒有所謂的弱密碼!

 

掃描下方二維碼,免費申請試用派拉軟件多因素認證平臺!

圖片

 

 

 

03

如何消滅企業(yè)其它弱密碼?

 

然而,上面這種消滅弱密碼的方式存在一定的局限性。對于企業(yè)員工日常辦公登錄而言,這種方式也許很適用。但企業(yè)弱密碼的來源除了人,還有各種網(wǎng)絡設備、應用系統(tǒng)等。

 

這些設備的賬號密碼往往又具備共享屬性。這時候,賬號密碼的管理方式往往是最佳選擇。換句話說,我們不可能完全消滅企業(yè)中賬號密碼這一選項。至少,當下還不能!

 

這時候,怎么辦?

 

為了幫助企業(yè)真正告別弱密碼,滿足企業(yè)合法合規(guī)的安全等級要求,派拉軟件自主研發(fā)了弱密碼檢測系統(tǒng)。該系統(tǒng)支持多種加密算法、校驗密碼強度,同時保障整體系統(tǒng)的密碼安全性。整個系統(tǒng)實現(xiàn)了從弱密碼發(fā)現(xiàn),到審計,再到治理全流程一體化管理。

 

圖片

 

01

圖片

超大弱密碼庫

 

派拉弱密碼監(jiān)測系統(tǒng)擁有 200 萬明文密碼庫、200 萬 Hash 弱密碼庫等,并根據(jù)互聯(lián)網(wǎng)爬蟲將互聯(lián)網(wǎng)常用語義錄入系統(tǒng)弱密碼庫,以及內(nèi)部根據(jù)弱密碼規(guī)則自定義導入形成自定義弱密碼庫。

 

02

圖片

企業(yè)弱密碼導入

 

企業(yè)內(nèi)部,行業(yè)內(nèi)部形成特殊的弱密碼庫可以自行導入,如公司名稱、公司部門、特定產(chǎn)品名形成的弱密碼或組合弱密碼等。

 

03

圖片

支持主流密文算法

 

支持主流的密文密碼搜索;支持所有HASH算法或加鹽HASH;支持對稱加密、非對稱加密;支持國密算法;支持AD、LDAP、數(shù)據(jù)庫加密算法。

 

04

圖片

弱密碼分級

 

按密碼常用程度或密碼策略將弱密碼分5個等級,從弱到強,并可視化呈現(xiàn)企業(yè)所有密碼強度等級情況。此外,在此基礎上提供生成適合各種場景的強密碼接口。

 

05

圖片

弱密碼全面掃描

 

弱密碼掃描支持AD、LDAP、Radius、DB、Linux等多種掃描方式,可對現(xiàn)有資產(chǎn)已經(jīng)存在的密碼進行密文掃描,無需解密,且具有很好的兼容性。

 

06

圖片

Open API

 

提供 Open API 對密碼進行弱密碼校驗能力,可以提供給其他應用系統(tǒng)的改密模塊進行調(diào)用,從源頭解決企業(yè)弱密碼的問題。

 

不可否認,我們的生活已經(jīng)被密碼層層包圍:打開手機屏鎖,登錄QQ、微博,連接無線網(wǎng),轉(zhuǎn)賬交易,登錄辦公系統(tǒng)等都需要輸入密碼,而密碼又是抵御網(wǎng)絡攻擊的第一道防線。

 

或許沒有什么能保證絕對的安全,使用指紋解鎖、面部解鎖等也不例外。但正因為如此,我們更要多注意密碼安全,采取與時俱進的技術保護措施,并靈活應用于企業(yè)安全實踐操作中。這樣才能在面對可能發(fā)生的意外時,更加從容淡定,安全高效地解決問題!