IT之家 1 月 20 日消息,安全研究人員發(fā)現(xiàn)了有史以來最大的密碼泄露事件之一,包含 7084 萬個電子郵件地址以及超過 1 億個密碼憑證,至少有超過 40 萬 Have I Been Pwned(HIBP)用戶受到影響。
一直以來,身份與訪問管理(IAM)就是企業(yè)數(shù)據(jù)安全的重災區(qū),而“弱密碼”更是震中。據(jù)2023年11月,NordPass 公布的 2023 年最常用的 200 個密碼。不出所料,“123456”繼續(xù)領跑年度“最弱密碼”榜首!
早在2011年,美國某密碼管理應用程序提供商就開始統(tǒng)計年度“最弱密碼”榜單,“123456”就是其中的“老主顧”,且一直位列“前茅”。而這樣的弱密碼往往只需要使用簡單的暴力破解工具在1秒內(nèi)即可破解。
盡管,我們都非常清楚地知道弱密碼的危害大、破壞強、影響廣......可為什么弱密碼現(xiàn)象卻總是在企業(yè)中屢禁不止呢?
01
弱密碼現(xiàn)象為何屢禁不止?
回答這個問題之前,我們首先來了解下什么是弱密碼?顧名思義,弱密碼簡單理解就是容易破譯的密碼。這樣的密碼往往具備以下幾點特征:
1、密碼長度少于8個字符;
2、字典中的單詞;
3、多為簡單數(shù)字組合、帳號與數(shù)字組合、鍵盤上臨近鍵或常見姓名,如“123456”等;
4、默認密碼,例如無線路由器常見的初始密碼admin;
5、姓名、生日、QQ、電話號碼、郵箱等,或它們的組合。
仔細回想一下,你設置的密碼是不是基本逃不出這5大特征?
既然我們了解了弱密碼的特征,那改掉不就行了嗎?可事實卻是,改掉并沒有想象中的那么容易。
眾所周知,企業(yè)為了滿足國家政策法規(guī)對密碼安全要求,減輕員工賬號密碼負擔,做了很多努力。
例如,上線單點登錄系統(tǒng),實現(xiàn)一個賬號密碼即可登錄所有業(yè)務系統(tǒng),減輕密碼記憶負擔;設置密碼長度,要求密碼區(qū)大小寫、添加符號,強制定期改密等防范技術措施......
然而,哪怕是每個人一個密碼,企業(yè)弱密碼現(xiàn)象也仍是普遍存在。因為人習慣于記憶那些有一定規(guī)律的數(shù)字或字母符合等組合的心理現(xiàn)象是不會變的。
更何況除了人,企業(yè)網(wǎng)絡中還有各種安全設備、網(wǎng)絡設備、應用系統(tǒng)等每天在產(chǎn)生大量密碼!
02
不用密碼就沒有所謂的弱密碼
那是否就消除不了企業(yè)弱密碼現(xiàn)象呢?答案是否定的。
因為身份認證的憑據(jù)從來不只密碼一種。我們每個人都是一個行走的“密碼庫”,每個人的“所知(我知道而你不知道)、所持(我持有的東西你沒有)、所有(我獨有特征你沒有)”,都可以作為身份認證的憑據(jù)。
所以,針對人,企業(yè)可以采用派拉軟件提供的多因素認證平臺。平臺支持以下多種登錄認證方式,企業(yè)可按需設置:
01
賬號登錄
支持用戶名+密碼、郵箱+密碼、手機號+密碼、自定義屬性+密碼,記住密碼;
02
驗證碼登錄
支持手機短信、釘釘消息、企業(yè)微信消息、微信公眾號消息驗證碼登錄系統(tǒng);可以設置發(fā)送策略,支持圖形驗證碼和滑塊驗證碼進行消息接口保護;
03
動態(tài)口令登錄
支持在線OTP ,離線OTP;支持標準 radius 協(xié)議 OTP 認證;
04
生物識別
支持人臉識別、指紋識別、聲紋識別方式登錄系統(tǒng);
05
APP掃碼登錄
支持安卓 APP、iOSAPP ,小程序掃碼登錄;
06
互聯(lián)網(wǎng)登錄
微信登錄, 企業(yè)微信登錄, QQ 登錄, 釘釘?shù)卿洠?nbsp;公眾號關注登錄, 飛書登錄, 抖音登錄, 微博登錄, 淘寶登錄, 支付寶登錄,通過規(guī)范文檔開發(fā),自定義集成第三方登錄。
......
這些登錄認證方式不僅加強了安全能力,還提升了員工的登錄體驗,同時還可以直接消除密碼。沒有了密碼,自然也就沒有所謂的弱密碼!
掃描下方二維碼,免費申請試用派拉軟件多因素認證平臺!
03
如何消滅企業(yè)其它弱密碼?
然而,上面這種消滅弱密碼的方式存在一定的局限性。對于企業(yè)員工日常辦公登錄而言,這種方式也許很適用。但企業(yè)弱密碼的來源除了人,還有各種網(wǎng)絡設備、應用系統(tǒng)等。
這些設備的賬號密碼往往又具備共享屬性。這時候,賬號密碼的管理方式往往是最佳選擇。換句話說,我們不可能完全消滅企業(yè)中賬號密碼這一選項。至少,當下還不能!
這時候,怎么辦?
為了幫助企業(yè)真正告別弱密碼,滿足企業(yè)合法合規(guī)的安全等級要求,派拉軟件自主研發(fā)了弱密碼檢測系統(tǒng)。該系統(tǒng)支持多種加密算法、校驗密碼強度,同時保障整體系統(tǒng)的密碼安全性。整個系統(tǒng)實現(xiàn)了從弱密碼發(fā)現(xiàn),到審計,再到治理全流程一體化管理。
01
超大弱密碼庫
派拉弱密碼監(jiān)測系統(tǒng)擁有 200 萬明文密碼庫、200 萬 Hash 弱密碼庫等,并根據(jù)互聯(lián)網(wǎng)爬蟲將互聯(lián)網(wǎng)常用語義錄入系統(tǒng)弱密碼庫,以及內(nèi)部根據(jù)弱密碼規(guī)則自定義導入形成自定義弱密碼庫。
02
企業(yè)弱密碼導入
企業(yè)內(nèi)部,行業(yè)內(nèi)部形成特殊的弱密碼庫可以自行導入,如公司名稱、公司部門、特定產(chǎn)品名形成的弱密碼或組合弱密碼等。
03
支持主流密文算法
支持主流的密文密碼搜索;支持所有HASH算法或加鹽HASH;支持對稱加密、非對稱加密;支持國密算法;支持AD、LDAP、數(shù)據(jù)庫加密算法。
04
弱密碼分級
按密碼常用程度或密碼策略將弱密碼分5個等級,從弱到強,并可視化呈現(xiàn)企業(yè)所有密碼強度等級情況。此外,在此基礎上提供生成適合各種場景的強密碼接口。
05
弱密碼全面掃描
弱密碼掃描支持AD、LDAP、Radius、DB、Linux等多種掃描方式,可對現(xiàn)有資產(chǎn)已經(jīng)存在的密碼進行密文掃描,無需解密,且具有很好的兼容性。
06
Open API
提供 Open API 對密碼進行弱密碼校驗能力,可以提供給其他應用系統(tǒng)的改密模塊進行調(diào)用,從源頭解決企業(yè)弱密碼的問題。
不可否認,我們的生活已經(jīng)被密碼層層包圍:打開手機屏鎖,登錄QQ、微博,連接無線網(wǎng),轉(zhuǎn)賬交易,登錄辦公系統(tǒng)等都需要輸入密碼,而密碼又是抵御網(wǎng)絡攻擊的第一道防線。
或許沒有什么能保證絕對的安全,使用指紋解鎖、面部解鎖等也不例外。但正因為如此,我們更要多注意密碼安全,采取與時俱進的技術保護措施,并靈活應用于企業(yè)安全實踐操作中。這樣才能在面對可能發(fā)生的意外時,更加從容淡定,安全高效地解決問題!