在今天的数字世界里,密码安全比以前更重要。虽然生物特征识别和一次性密码(OTP)其他新兴的身份验证形式经常被吹捧为传统密码的替代品,但取代传统密码仍然只是营销炒作。
然而,密码不会很快退出历史舞台,这并不意味着企业现在不需要现代的密码安全方法。
▶ 被盗凭证危机
正如微软安全团队所指出的,“数据泄露只需要一张被盗凭证”。再加上屡禁不止的重用密码,盗窃密码会对企业安全产生重大而长期的影响。
事实上,弗吉尼亚理工大学的研究人员发现,70%以上的用户在密码泄露后,会在其他账户上使用密码一年;40%的用户会重用三年前泄露的密码。
虽然大多数被盗问题对大多数人来说都是如此IT主管而言不是什么新鲜事,但他们可能会很惊讶地发现:自己解决该问题的诸多尝试常常会造成更多安全漏洞。
有许多传统的方法可以削弱密码的安全性,例如:
- 强制密码的复杂性
- 定期重置密码
- 限制密码长度和字符使用
- 要求特殊字符
▶ 现代密码安全方法
考虑到与这些传统方法相关的漏洞,国家标准与技术研究所(NIST)修订了其密码安全建议,鼓励用户采用更现代的密码安全最佳实践。NIST更新密码安全建议的根本原因是,如果用户被迫创建符合复杂要求的密码或定期重置密码,人为因素往往会导致安全漏洞。
例如,如果要求密码中包含特殊字符和数字,用户可以选择“P@ssword1”这种最基本的形式显然很常见,很容易被黑客使用。另一种可能对密码安全产生负面影响的传统方法是禁止在密码中使用空格符或各种特殊字符的策略。毕竟,如果你想让用户创建一个容易记住的独特的密码,为什么要对它的形式有很多限制呢?
此外,NIST还建议取消定期重置密码,并建议公司只有在有证据表明密码泄露时才要求更改密码。
▶ 凭证筛选解决方案的作用
那么,公司如何监控密码被盗的迹象呢?可以使用NIST另一项建议:企业持续筛选包括常用被盗凭证的黑名单密码。
可能听起来很简单,但在当今严峻的威胁下,选择合适的盗窃凭证筛选解决方案是非常重要的。
▶ 动态解决方案必不可少
互联网上有许多静态黑名单,一些公司甚至编制了自己的静态黑名单。但现在,当数据泄露随时发生时,新鲜的盗窃凭证不断涌入黑网,黑客可以继续攻击。现有的黑名单或每年定期更新的黑名单无法应对这种高风险的环境。
Enzoic动态解决方案与包含数十亿盗窃密码的专有数据库筛选凭证进行比较。数据库中的盗窃密码要么来自数据泄露事件,要么来自破解字典。由于数据库每天自动更新多次,公司可以放心,该密码的安全性是否跟上最新的数据泄露信息,无需额外投资IT工作。
现代密码安全方法的重要组成部分还包括在密码创建过程中筛选凭证,并在密码创建后继续监控其完整性。如果以前的安全密码后来被泄露,公司可以自动执行适当的操作,如强制重置密码或在下次登录时重置密码IT调查前完全禁止访问。
▶ 前路漫漫
尽管NIST该指南通常为整个安全行业提供最好的实践建议,但最终取决于最适合公司独特需求的安全主管,并相应调整公司战略。
这取决于行业、公司规模和其他隐私,也许有些建议不适合你的公司。
然而,由于密码漏洞,很难想象哪家公司不会从凭证筛选提供的额外安全层中受益。