IT之家 1 月 20 日消息,安全研究人員發(fā)現了有史以來最大的密碼泄露事件之一,包含 7084 萬個電子郵件地址以及超過 1 億個密碼憑證,至少有超過 40 萬 Have I Been Pwned(HIBP)用戶受到影響。
一直以來,身份與訪問管理(IAM)就是企業(yè)數據安全的重災區(qū),而“弱密碼”更是震中。據2023年11月,NordPass 公布的 2023 年最常用的 200 個密碼。不出所料,“123456”繼續(xù)領跑年度“最弱密碼”榜首!
早在2011年,美國某密碼管理應用程序提供商就開始統(tǒng)計年度“最弱密碼”榜單,“123456”就是其中的“老主顧”,且一直位列“前茅”。而這樣的弱密碼往往只需要使用簡單的暴力破解工具在1秒內即可破解。
盡管,我們都非常清楚地知道弱密碼的危害大、破壞強、影響廣......可為什么弱密碼現象卻總是在企業(yè)中屢禁不止呢?
01
弱密碼現象為何屢禁不止?
回答這個問題之前,我們首先來了解下什么是弱密碼?顧名思義,弱密碼簡單理解就是容易破譯的密碼。這樣的密碼往往具備以下幾點特征:
1、密碼長度少于8個字符;
2、字典中的單詞;
3、多為簡單數字組合、帳號與數字組合、鍵盤上臨近鍵或常見姓名,如“123456”等;
4、默認密碼,例如無線路由器常見的初始密碼admin;
5、姓名、生日、QQ、電話號碼、郵箱等,或它們的組合。
仔細回想一下,你設置的密碼是不是基本逃不出這5大特征?
既然我們了解了弱密碼的特征,那改掉不就行了嗎?可事實卻是,改掉并沒有想象中的那么容易。
眾所周知,企業(yè)為了滿足國家政策法規(guī)對密碼安全要求,減輕員工賬號密碼負擔,做了很多努力。
例如,上線單點登錄系統(tǒng),實現一個賬號密碼即可登錄所有業(yè)務系統(tǒng),減輕密碼記憶負擔;設置密碼長度,要求密碼區(qū)大小寫、添加符號,強制定期改密等防范技術措施......
然而,哪怕是每個人一個密碼,企業(yè)弱密碼現象也仍是普遍存在。因為人習慣于記憶那些有一定規(guī)律的數字或字母符合等組合的心理現象是不會變的。
更何況除了人,企業(yè)網絡中還有各種安全設備、網絡設備、應用系統(tǒng)等每天在產生大量密碼!
02
不用密碼就沒有所謂的弱密碼
那是否就消除不了企業(yè)弱密碼現象呢?答案是否定的。
因為身份認證的憑據從來不只密碼一種。我們每個人都是一個行走的“密碼庫”,每個人的“所知(我知道而你不知道)、所持(我持有的東西你沒有)、所有(我獨有特征你沒有)”,都可以作為身份認證的憑據。
所以,針對人,企業(yè)可以采用派拉軟件提供的多因素認證平臺。平臺支持以下多種登錄認證方式,企業(yè)可按需設置:
01
賬號登錄
支持用戶名+密碼、郵箱+密碼、手機號+密碼、自定義屬性+密碼,記住密碼;
02
驗證碼登錄
支持手機短信、釘釘消息、企業(yè)微信消息、微信公眾號消息驗證碼登錄系統(tǒng);可以設置發(fā)送策略,支持圖形驗證碼和滑塊驗證碼進行消息接口保護;
03
動態(tài)口令登錄
支持在線OTP ,離線OTP;支持標準 radius 協議 OTP 認證;
04
生物識別
支持人臉識別、指紋識別、聲紋識別方式登錄系統(tǒng);
05
APP掃碼登錄
支持安卓 APP、iOSAPP ,小程序掃碼登錄;
06
互聯網登錄
微信登錄, 企業(yè)微信登錄, QQ 登錄, 釘釘登錄, 公眾號關注登錄, 飛書登錄, 抖音登錄, 微博登錄, 淘寶登錄, 支付寶登錄,通過規(guī)范文檔開發(fā),自定義集成第三方登錄。
......
這些登錄認證方式不僅加強了安全能力,還提升了員工的登錄體驗,同時還可以直接消除密碼。沒有了密碼,自然也就沒有所謂的弱密碼!
掃描下方二維碼,免費申請試用派拉軟件多因素認證平臺!
03
如何消滅企業(yè)其它弱密碼?
然而,上面這種消滅弱密碼的方式存在一定的局限性。對于企業(yè)員工日常辦公登錄而言,這種方式也許很適用。但企業(yè)弱密碼的來源除了人,還有各種網絡設備、應用系統(tǒng)等。
這些設備的賬號密碼往往又具備共享屬性。這時候,賬號密碼的管理方式往往是最佳選擇。換句話說,我們不可能完全消滅企業(yè)中賬號密碼這一選項。至少,當下還不能!
這時候,怎么辦?
為了幫助企業(yè)真正告別弱密碼,滿足企業(yè)合法合規(guī)的安全等級要求,派拉軟件自主研發(fā)了弱密碼檢測系統(tǒng)。該系統(tǒng)支持多種加密算法、校驗密碼強度,同時保障整體系統(tǒng)的密碼安全性。整個系統(tǒng)實現了從弱密碼發(fā)現,到審計,再到治理全流程一體化管理。
01
超大弱密碼庫
派拉弱密碼監(jiān)測系統(tǒng)擁有 200 萬明文密碼庫、200 萬 Hash 弱密碼庫等,并根據互聯網爬蟲將互聯網常用語義錄入系統(tǒng)弱密碼庫,以及內部根據弱密碼規(guī)則自定義導入形成自定義弱密碼庫。
02
企業(yè)弱密碼導入
企業(yè)內部,行業(yè)內部形成特殊的弱密碼庫可以自行導入,如公司名稱、公司部門、特定產品名形成的弱密碼或組合弱密碼等。
03
支持主流密文算法
支持主流的密文密碼搜索;支持所有HASH算法或加鹽HASH;支持對稱加密、非對稱加密;支持國密算法;支持AD、LDAP、數據庫加密算法。
04
弱密碼分級
按密碼常用程度或密碼策略將弱密碼分5個等級,從弱到強,并可視化呈現企業(yè)所有密碼強度等級情況。此外,在此基礎上提供生成適合各種場景的強密碼接口。
05
弱密碼全面掃描
弱密碼掃描支持AD、LDAP、Radius、DB、Linux等多種掃描方式,可對現有資產已經存在的密碼進行密文掃描,無需解密,且具有很好的兼容性。
06
Open API
提供 Open API 對密碼進行弱密碼校驗能力,可以提供給其他應用系統(tǒng)的改密模塊進行調用,從源頭解決企業(yè)弱密碼的問題。
不可否認,我們的生活已經被密碼層層包圍:打開手機屏鎖,登錄QQ、微博,連接無線網,轉賬交易,登錄辦公系統(tǒng)等都需要輸入密碼,而密碼又是抵御網絡攻擊的第一道防線。
或許沒有什么能保證絕對的安全,使用指紋解鎖、面部解鎖等也不例外。但正因為如此,我們更要多注意密碼安全,采取與時俱進的技術保護措施,并靈活應用于企業(yè)安全實踐操作中。這樣才能在面對可能發(fā)生的意外時,更加從容淡定,安全高效地解決問題!