據Verizon 發布的《2020年數據洩露調查報告》顯示，超過80%的數據洩露都是黑客利用被盜密碼或弱密碼導緻的。密碼安全對于企業，組織和個人用戶來說都是非常重要的。但是，很多人并不重視密碼安全，甚至不知道什麼是強密碼。那麼，什麼是密碼安全？強密碼和弱密碼是什麼樣的？如果您的組織沒有高安全性密碼，會有哪些風險?除了創建強密碼外，還有其他方式解決密碼安全問題嗎?

接下來，銳成信息将一一解答，并在最後給出一些快速提高密碼安全的小竅門。

密碼安全是使密碼和身份驗證方法更安全的策略、流程和技術的統稱，要讓密碼安全關鍵是要知道如何保護密碼。密碼本身是一種存儲秘密的身份驗證器。也就是說隻有您知道這個密碼，并用此密碼向第三方驗證自己身份。其他身份驗證器還包括加密設備、一次性密碼或PIN，以及密鑰訪問卡。

什麼樣的密碼才算是高安全性的呢？參考下方要求檢測一下吧！

• 能防止未經授權的用戶訪問受保護的系統、信息和數據。
• 密碼是否複雜的讓别人難以猜到或破解。
• 于您而言，密碼是否容易記住。
• 是否将密碼與他人分享。
• 是否以安全的方式存儲，防止密碼洩露。

雖然密碼直到20世紀60年代才被引入，但對于組織和用戶來說，密碼已經成為保障網絡與信息安全最有效、最經濟的關鍵核心技術。但密碼安全對賬戶而言不僅僅是密碼本身，它還涉及保護這些密碼及其提供的訪問權限的政策、程序、技術和培訓。例如:

• 創建和執行計算機使用策略和/或BYOD策略，明确指出哪些賬戶可以在哪些設備上訪問，要求使用VPN遠程工作或連接到公共Wi-Fi等。
• 創建并執行密碼策略，以解決特定的密碼創建、存儲和維護需求。
• 為員工提供培訓和指導，以幫助他們了解建立安全密碼和遵循密碼管理最佳方法的重要性。

據IDC的一份報告顯示，在2019年的IT和非IT調查受訪者中，有62%的人表示，人為錯誤是企業業務面臨的主要網絡威脅。這種人為錯誤主要是源于企業的普通員工創建簡單密碼和共享密碼導緻的，而不是那些高管或擁有特殊訪問權限的員工。

關于密碼安全的重要性，還有哪些因素需要考慮？

遵從法規的合規性是所有組織都應該關注的一個方面。有多種法規和監管機構要求組織滿足身份認證和數據保護的特定标準，也有其他組織制定标準并提供指導使公司和其他組織可以嚴格遵從這些标準。例如：

國家标準技術研究院 (NIST) 是一個全球性的非監管機構，主要負責監管美國聯邦政府附屬機構和組織。多年來，NIST一直緻力于在線身份驗證和密碼安全研究，并制定了一套加強密碼安全性的準則，它不僅僅是FBI，USDA和NSA等政府機構必須遵守的準則，也成為了很多企業遵循的密碼指南。

支付卡行業數據安全标準(PCI DSS)是全球最嚴格、級别最高的金融機構安全認證标準，适用于所有涉及支付卡處理的實體，包括商戶、處理機構、購買者、發行商和服務提供商及儲存、處理或傳輸持卡人資料的所有其他實體。PCI DSS信息安全标準中強調身份認證，并要求進行密鑰管理，在數據傳輸過程中使用強效加密法和安全協議來保護數據。凡是涉及處理支付卡相關數據的組織都必須要遵守PCI DSS要求，如不遵從，那麼該組織将會面臨巨額罰款。

歐盟的通用數據保護條例（GDRP）雖沒有特别提及密碼，但是在第28條中指出，數據處理者必須提供相應的技術和措施以滿足本條例要求，确保數據主體權利得以安全保護。第25條規定，決定處理哪些數據以及如何處理數據的控制者也必須執行此類保護措施，以保護數據主體的權利。這就意味着凡是參與涉及個人數據處理的組織都必須采取安全措施來保護他們處理的數據。目前，使用強而獨特的密碼策略是安全措施中的最佳做法。

我們前面提到過，不安全的密碼和不良的密碼管理習慣會給組織增加釣魚攻擊和數據洩露的風險。看看下面的幾個案例就明白了。

美國聯邦調查局網絡犯罪投訴中心(IC3)在2019年的報告中稱，商業電子郵件洩露和電子郵件賬戶洩露（BEC/EAC）犯罪造成了超過17億美元的損失。為了避免類似的情況發生，銳成信息強烈建議您采用郵件安全解決方案，防止郵件信息洩露。

2020年7月，Twitter頂級認證用戶賬戶的洩露與憑證洩露有關。一名Twitter員工成為了這場社交工程攻擊的目标，攻擊者使用該員工的憑證訪問Twitter内部系統，攻擊和破壞130個用戶賬戶(包括伊隆·馬斯克、巴拉克·奧巴馬、喬·拜登和比爾·蓋茨等名人賬戶)，用比特币的虛假承諾欺騙用戶。此次詐騙給受害者造成價值11.8萬美元的比特币損失。

不安全的密碼各式各樣，但是很多都具備以下特點：包含常用的單詞，打字習慣，于自己而言非常重要的人的名字(如孩子或父母的名字)，有特殊意義的日期(如生日或紀念日)等等。

那麼，最常用的弱密碼是什麼樣的呢?根據CyberNews的報道，以下是全球最常用的10個密碼：

1. 123456
2. 123456789
3. qwerty
4. password
5. 12345
6. qwerty123
7. 1q2w3e
8. 12345678
9. 111111
10. 1234567890

高安全性的密碼需要從哪些方面着手呢？

首先，設置的密碼足夠長且複雜，還要易于記住。一般要求至少有12個字符，同時使用大寫字母和小寫字母，并包含一些随機數字和特殊符号。采用密碼短語可以幫助您記住密碼，也可以使用數字和符号代替字母使密碼變得足夠複雜，如“H0use”代替“House”，“G@m3r”代替“Gamer”。

其次，強制要求用戶為每個賬戶創建唯一的密碼。如果用戶嘗試創建具有相同字母、數字、字符的新密碼，則阻止此憑證通過。另外，将密碼設置為密碼安全策略的一部分，即用戶必須為每個帳戶創建唯一的密碼，并且切勿與其他任何人共享密碼。

再者，選擇安全的密碼存儲方式保護密碼安全。在任何情況下不要使用純文本格式存儲密碼，建議使用經過批準的密碼管理器以确保所有密碼的安全。更安全的做法是存儲加鹽的哈希值，以防止暴力攻擊和彩虹表攻擊。

顯然，要确保高安全性密碼認證需要做很多工作。那是否有一種可以幫助用戶更容易确保憑證安全，也便于企業IT團隊安全管理的方式嗎？研究表明，通過簡單便利的無密碼身份認證的方法可以有效地協調用戶和業務需求。

與傳統的基于密碼的身份驗證流程相比，無密碼身份認證（Passwordless Authentication）更方便，更安全。當前，有兩種方法可以做無密碼身份認證。一種選擇是使用多因素身份認證(MFA)，另一種是基于數字證書的身份認證或基于PKI的身份認證。

多因素身份認證（MFA）

多因素身份認證（MFA）是一種更安全，多層次的防禦系統，這種機制需要您提供兩種或多種類型的獨立憑證：

• 您知道的東西（如密碼或PIN）
• 您擁有的東西（如手機APP，安全性令牌或者智能卡）
• 您是誰（生物識别驗證，如指紋識别，面部識别，視網膜掃描，語音識别）。

基于數字證書的身份認證

基于PKI的認證方法比傳統的MFA方法更安全。PKI作為網絡安全的基礎設施，是集加密技術、系統、流程和策略的統稱。基于證書的設備身份認證将PKI數字證書與信任模型(TPM)結合使用，即在設備上安裝一個數字證書，該證書将組織或個人的身份與該設備聯系在一起，從而提供了客戶端身份驗證，讓您的設備向服務器證實其身份，而不必輸入密碼。

基于PKI的無密碼身份認證的優點如下：

• 用戶不再需要創建或記住複雜的密碼，因為數字證書無需密碼來驗證用戶身份。
• 無需擔心錯誤的密碼存儲方法帶來的風險。
• 不會成為網絡釣魚和其他憑證攻擊的犧牲品。

綜上所述，基于密碼的身份驗證并不是一種萬能的方法。在這裡，銳成信息提供幾個小竅門讓您的密碼安全更有效。

• 不要與他人共享您的登錄信息。即使您精心創建了一個強而複雜的密碼，也并不意味在與他人共享後還能确保您的登錄憑證安全。
• 不要在多個帳戶中重複使用相同的密碼。大多數用戶常犯的一個錯誤是在多個帳戶之間重複使用相同密碼。如果該密碼遭到洩露、釣魚攻擊或被盜，那意味着使用該密碼的其他帳戶都将有同樣的風險。
• 使用長的密碼短語代替複雜又難記的密碼。長的密碼短語比複雜的密碼更容易讓用戶記住。對于不依賴密碼管理器的用戶來說，這樣的密碼更有效。
• 阻止用戶使用違規列表中的密碼。請阻止用戶使用可在公共數據洩露列表中能查到的憑證密碼！
• 确保企業組織正确存儲密碼哈希值。請不要直接用明文格式存儲密碼，而應存儲密碼哈希值，并使用哈希加鹽法為密碼加密，這樣不僅使密碼可以抵抗暴力攻擊，而且可以防止彩虹表攻擊。
• 選擇基于數字證書的身份認證方式，徹底擺脫繁瑣而又不安全的密碼。

銳成信息是國内領先的PKI服務商，提供基于PKI數字證書技術的解決方案，便于終端用戶身份認證，簡化企業密碼安全管理任務，更好地幫助企業維護密碼安全！

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!