HOW TO SOLVE PASSWORD SECURITY?

本文為億格雲安全系列欄目《Deep Insight》第1篇

近日，黑客組織RansomHouse對外宣布，他們入侵了芯片巨頭AMD的網絡，從中竊取了450GB的數據。入侵過程中并沒有用到高深的手法，而是因為AMD的員工使用了“123456”、“password”、“Welcome1”等簡單密碼。同時，黑客還嘲諷AMD這樣的高科技公司在安全上的承諾僅僅是句漂亮的話語（“just beautiful words” ），而并沒有真正的安全性。

類似的由密碼丢失導緻的入侵或數據洩露事件并不是個例，除了弱密碼，釣魚攻擊、暴力破解、撞庫攻擊都是密碼的常見威脅。前不久周傑倫就因為遭受釣魚攻擊導緻自己名下的NFT被盜。

在上世紀60年代，密碼就被麻省理工發明出來用于大型分時系統中，然而在1966年麻省理工就因為一起軟件的Bug導緻該系統所有用戶的密碼洩露，這也許是世界上首個密碼洩露事件。然而大半個世紀過去了，我們不禁要問，為什麼這麼重要的密碼安全問題一直沒有得到有效解決，反而愈演愈烈？

我們在很多安全報告中都看到這樣的觀點：人是網絡安全中最薄弱的環節。這是有很多真實數據支撐的，Verizon發布的《2022年數據洩露調查報告》顯示，82%的數據洩露都是人為因素導緻，包括社會工程學攻擊、弱口令、配置錯誤等等。

我們所有人都知道AMD員工使用的“123456”密碼很不安全，但是這個密碼一直以來都是占據最常用密碼列表的榜首。2022年最新的常用密碼統計顯示，使用最多的前10個密碼如下：

①123456

②123456789

③qwerty

④password

⑤12345

⑥qwerty123

⑦1q2w3e

⑧12345678

⑨111111

⑩1234567890

如果用戶使用了這樣的密碼，攻擊者可以在1秒内成功破解。即使有過這麼多的慘痛案例，還是有大量用戶甚至企業員工為了自己方便，使用了這些簡單的密碼。

撞庫是密碼的另外一個威脅，撞庫指的是拿已經洩露的密碼去嘗試登錄其他網站。據GoodFirms調查統計，45.7%的用戶會在不同的網站或應用中使用相同的密碼，所以攻擊者獲得了一份洩露的密碼庫，拿這些密碼就有很大的概率能登錄其他的網站。撞庫攻擊已經成為黑客最常用的攻擊手法之一，向來以安全著稱的蘋果也遭受過撞庫攻擊。

相信很多人都有過類似的經曆，密碼總是容易忘記，然後将密碼寫在記事本、便簽、雲筆記中。以雲筆記為例，如果攻擊者通過撞庫登錄了雲筆記，就獲得了用戶記錄的所有的密碼。如果攻擊者盜取了郵箱密碼後也可以通過找回密碼功能來登錄雲筆記。在攻防演練中已經有很多案例是通過雲筆記洩露的密碼進一步突破的。

這些常見的密碼洩露途徑都是人的因素導緻的，而人是很難改變的，導緻這個最薄弱的環節一直以來都沒有明顯的改善。

從這些案例中我們可知，完全依賴人的安全意識提升是不現實的，企業需要其他的技術手段來保證員工賬号和密碼的安全。

密碼管理器是一種密碼安全解決方案，它使用一個工具對用戶所有的密碼進行統一管理，在其他應用中注冊賬号時還能自動生成高強度的密碼。Lastpass就是個常用的密碼管理器，常見的浏覽器也都提供了密碼管理器功能。

但是密碼管理器都是将用戶的密碼存儲在雲端，其安全性依賴于密碼管理器的安全性，有點像把所有雞蛋放在一個籃子裡。在2011年Lastpass發出公告稱其内部發現可疑的網絡活動，懷疑存在數據洩露，這不得不讓人懷疑密碼管理器的安全性。

雙因素認證是最另一種常見的增強認證手段，用戶在登錄時需要輸入一個隻有他自己才能獲取到的随機數字，一般是手機短信驗證碼或者動态令牌，所以攻擊者即使獲取了賬号密碼，也沒有辦法登錄該賬号。

然而雙因素認證也不是絕對安全的，不然怎麼會有這麼多電信詐騙，這裡邊的根源還是人的弱點，攻擊者通過電話欺詐的方式，也可以讓安全意識薄弱的受害者交出自己的短信驗證碼。而網頁釣魚把密碼和短信碼一起釣走的案例也不少見。

雙因素認證會一定程度上影響用戶使用體驗，大家都體驗過辦理重要事情時短信驗證碼收不到的情況，點了多次收到多條短信時又不知道哪條是對的。

密碼登錄本質上是一個信任問題，它基于一個假設：擁有正确的密碼就是擁有可信任的身份。但遺憾的是這個假設在很多時候并不成立，例如上邊各種針對密碼的攻擊行為，都讓不可信的人獲得了密碼。

業界提出了零信任的概念，它的基本原理是假設網絡中每個環節默認都是不可信的，隻有經過明确的身份認證和授權才能訪問相應的資源。如果僅看這一點，它相比密碼認證好不到哪裡去。但是零信任除了身份認證和授權，還加入了訪問行為上下文的可信驗證，例如終端設備是否可信、是否使用了常用的網絡環境，這些都可以輔助判斷訪問者是否可信。

零信任可以結合雙因素認證方案，在注冊可信設備或者接入可信網絡時進行雙因素認證，而在安全環境不發生變化的情況下後續無需再進行多次認證，相比死闆的雙因素認證擁有更好的使用體驗。

此外，零信任方案還可提供單點登錄（SSO），用戶無需為不同的系統設置不同的密碼，也不用擔心弱密碼産生的威脅，它提供了比密碼管理器更加安全的憑證管理方案。

（文中圖片源于互聯網，侵權請聯系删除）

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!