En 400-6655-581
5
返回列表
> 資源中心 > 文章>產品>MFA(多因素認證)> 1億個密碼遭泄漏,“最弱密碼”繼續(xù)領跑,企業(yè)“弱密碼”亟需消滅!

1億個密碼遭泄漏,“最弱密碼”繼續(xù)領跑,企業(yè)“弱密碼”亟需消滅!

文章

2024-01-23瀏覽次數:518

IT之家 1 月 20 日消息,安全研究人員發(fā)現了有史以來最大的密碼泄露事件之一,包含 7084 萬個電子郵件地址以及超過 1 億個密碼憑證,至少有超過 40 萬 Have I Been Pwned(HIBP)用戶受到影響。

 

一直以來,身份與訪問管理(IAM)就是企業(yè)數據安全的重災區(qū),而“弱密碼”更是震中。據2023年11月,NordPass 公布的 2023 年最常用的 200 個密碼。不出所料,“123456”繼續(xù)領跑年度“最弱密碼”榜首!

 

早在2011年,美國某密碼管理應用程序提供商就開始統(tǒng)計年度“最弱密碼”榜單,“123456”就是其中的“老主顧”,且一直位列“前茅”。而這樣的弱密碼往往只需要使用簡單的暴力破解工具在1秒內即可破解。

 

盡管,我們都非常清楚地知道弱密碼的危害大、破壞強、影響廣......可為什么弱密碼現象卻總是在企業(yè)中屢禁不止呢?

 

 

 

01

弱密碼現象為何屢禁不止?

 

回答這個問題之前,我們首先來了解下什么是弱密碼?顧名思義,弱密碼簡單理解就是容易破譯的密碼。這樣的密碼往往具備以下幾點特征:

 

1、密碼長度少于8個字符;

2、字典中的單詞;

3、多為簡單數字組合、帳號與數字組合、鍵盤上臨近鍵或常見姓名,如“123456”等;

4、默認密碼,例如無線路由器常見的初始密碼admin;

5、姓名、生日、QQ、電話號碼、郵箱等,或它們的組合。

 

仔細回想一下,你設置的密碼是不是基本逃不出這5大特征?

 

既然我們了解了弱密碼的特征,那改掉不就行了嗎?可事實卻是,改掉并沒有想象中的那么容易。

 

眾所周知,企業(yè)為了滿足國家政策法規(guī)對密碼安全要求,減輕員工賬號密碼負擔,做了很多努力。

 

例如,上線單點登錄系統(tǒng),實現一個賬號密碼即可登錄所有業(yè)務系統(tǒng),減輕密碼記憶負擔;設置密碼長度,要求密碼區(qū)大小寫、添加符號,強制定期改密等防范技術措施......

 

然而,哪怕是每個人一個密碼,企業(yè)弱密碼現象也仍是普遍存在。因為人習慣于記憶那些有一定規(guī)律的數字或字母符合等組合的心理現象是不會變的。

 

更何況除了人,企業(yè)網絡中還有各種安全設備、網絡設備、應用系統(tǒng)等每天在產生大量密碼!

 

 

 

02

不用密碼就沒有所謂的弱密碼

 

那是否就消除不了企業(yè)弱密碼現象呢?答案是否定的。

 

因為身份認證的憑據從來不只密碼一種。我們每個人都是一個行走的“密碼庫”,每個人的“所知(我知道而你不知道)、所持(我持有的東西你沒有)、所有(我獨有特征你沒有)”,都可以作為身份認證的憑據。

 

所以,針對人,企業(yè)可以采用派拉軟件提供的多因素認證平臺。平臺支持以下多種登錄認證方式,企業(yè)可按需設置:

 

01

圖片

賬號登錄

 

支持用戶名+密碼、郵箱+密碼、手機號+密碼、自定義屬性+密碼,記住密碼;

 

02

圖片

驗證碼登錄

 

支持手機短信、釘釘消息、企業(yè)微信消息、微信公眾號消息驗證碼登錄系統(tǒng);可以設置發(fā)送策略,支持圖形驗證碼和滑塊驗證碼進行消息接口保護;

 

03

圖片

動態(tài)口令登錄

 

支持在線OTP ,離線OTP;支持標準 radius 協議 OTP 認證;

 

04

圖片

生物識別

 

支持人臉識別、指紋識別、聲紋識別方式登錄系統(tǒng);

 

05

圖片

APP掃碼登錄

 

支持安卓 APP、iOSAPP ,小程序掃碼登錄;

 

06

圖片

互聯網登錄

 

微信登錄, 企業(yè)微信登錄, QQ 登錄, 釘釘登錄, 公眾號關注登錄, 飛書登錄, 抖音登錄, 微博登錄, 淘寶登錄, 支付寶登錄,通過規(guī)范文檔開發(fā),自定義集成第三方登錄。

 

......

 

圖片

 

這些登錄認證方式不僅加強了安全能力,還提升了員工的登錄體驗,同時還可以直接消除密碼。沒有了密碼,自然也就沒有所謂的弱密碼!

 

掃描下方二維碼,免費申請試用派拉軟件多因素認證平臺!

圖片

 

 

 

03

如何消滅企業(yè)其它弱密碼?

 

然而,上面這種消滅弱密碼的方式存在一定的局限性。對于企業(yè)員工日常辦公登錄而言,這種方式也許很適用。但企業(yè)弱密碼的來源除了人,還有各種網絡設備、應用系統(tǒng)等。

 

這些設備的賬號密碼往往又具備共享屬性。這時候,賬號密碼的管理方式往往是最佳選擇。換句話說,我們不可能完全消滅企業(yè)中賬號密碼這一選項。至少,當下還不能!

 

這時候,怎么辦?

 

為了幫助企業(yè)真正告別弱密碼,滿足企業(yè)合法合規(guī)的安全等級要求,派拉軟件自主研發(fā)了弱密碼檢測系統(tǒng)。該系統(tǒng)支持多種加密算法、校驗密碼強度,同時保障整體系統(tǒng)的密碼安全性。整個系統(tǒng)實現了從弱密碼發(fā)現,到審計,再到治理全流程一體化管理。

 

圖片

 

01

圖片

超大弱密碼庫

 

派拉弱密碼監(jiān)測系統(tǒng)擁有 200 萬明文密碼庫、200 萬 Hash 弱密碼庫等,并根據互聯網爬蟲將互聯網常用語義錄入系統(tǒng)弱密碼庫,以及內部根據弱密碼規(guī)則自定義導入形成自定義弱密碼庫。

 

02

圖片

企業(yè)弱密碼導入

 

企業(yè)內部,行業(yè)內部形成特殊的弱密碼庫可以自行導入,如公司名稱、公司部門、特定產品名形成的弱密碼或組合弱密碼等。

 

03

圖片

支持主流密文算法

 

支持主流的密文密碼搜索;支持所有HASH算法或加鹽HASH;支持對稱加密、非對稱加密;支持國密算法;支持AD、LDAP、數據庫加密算法。

 

04

圖片

弱密碼分級

 

按密碼常用程度或密碼策略將弱密碼分5個等級,從弱到強,并可視化呈現企業(yè)所有密碼強度等級情況。此外,在此基礎上提供生成適合各種場景的強密碼接口。

 

05

圖片

弱密碼全面掃描

 

弱密碼掃描支持AD、LDAP、Radius、DB、Linux等多種掃描方式,可對現有資產已經存在的密碼進行密文掃描,無需解密,且具有很好的兼容性。

 

06

圖片

Open API

 

提供 Open API 對密碼進行弱密碼校驗能力,可以提供給其他應用系統(tǒng)的改密模塊進行調用,從源頭解決企業(yè)弱密碼的問題。

 

不可否認,我們的生活已經被密碼層層包圍:打開手機屏鎖,登錄QQ、微博,連接無線網,轉賬交易,登錄辦公系統(tǒng)等都需要輸入密碼,而密碼又是抵御網絡攻擊的第一道防線。

 

或許沒有什么能保證絕對的安全,使用指紋解鎖、面部解鎖等也不例外。但正因為如此,我們更要多注意密碼安全,采取與時俱進的技術保護措施,并靈活應用于企業(yè)安全實踐操作中。這樣才能在面對可能發(fā)生的意外時,更加從容淡定,安全高效地解決問題!