1億個(gè)密碼遭泄漏，“最弱密碼”繼續(xù)領(lǐng)跑，企業(yè)“弱密碼”亟需消滅！

IT之家 1 月 20 日消息，安全研究人員發(fā)現(xiàn)了有史以來最大的密碼泄露事件之一，包含 7084 萬個(gè)電子郵件地址以及超過 1 億個(gè)密碼憑證，至少有超過 40 萬 Have I Been Pwned（HIBP）用戶受到影響。

一直以來，身份與訪問管理（IAM）就是企業(yè)數(shù)據(jù)安全的重災(zāi)區(qū)，而“弱密碼”更是震中。據(jù)2023年11月，NordPass 公布的 2023 年最常用的 200 個(gè)密碼。不出所料，“123456”繼續(xù)領(lǐng)跑年度“最弱密碼”榜首！

早在2011年，美國某密碼管理應(yīng)用程序提供商就開始統(tǒng)計(jì)年度“最弱密碼”榜單，“123456”就是其中的“老主顧”，且一直位列“前茅”。而這樣的弱密碼往往只需要使用簡單的暴力破解工具在1秒內(nèi)即可破解。

盡管，我們都非常清楚地知道弱密碼的危害大、破壞強(qiáng)、影響廣......可為什么弱密碼現(xiàn)象卻總是在企業(yè)中屢禁不止呢？

01

弱密碼現(xiàn)象為何屢禁不止？

回答這個(gè)問題之前，我們首先來了解下什么是弱密碼？顧名思義，弱密碼簡單理解就是容易破譯的密碼。這樣的密碼往往具備以下幾點(diǎn)特征：

1、密碼長度少于8個(gè)字符；

2、字典中的單詞；

3、多為簡單數(shù)字組合、帳號(hào)與數(shù)字組合、鍵盤上臨近鍵或常見姓名，如“123456”等；

4、默認(rèn)密碼，例如無線路由器常見的初始密碼admin；

5、姓名、生日、QQ、電話號(hào)碼、郵箱等，或它們的組合。

仔細(xì)回想一下，你設(shè)置的密碼是不是基本逃不出這5大特征？

既然我們了解了弱密碼的特征，那改掉不就行了嗎？可事實(shí)卻是，改掉并沒有想象中的那么容易。

眾所周知，企業(yè)為了滿足國家政策法規(guī)對(duì)密碼安全要求，減輕員工賬號(hào)密碼負(fù)擔(dān)，做了很多努力。

例如，上線單點(diǎn)登錄系統(tǒng)，實(shí)現(xiàn)一個(gè)賬號(hào)密碼即可登錄所有業(yè)務(wù)系統(tǒng)，減輕密碼記憶負(fù)擔(dān)；設(shè)置密碼長度，要求密碼區(qū)大小寫、添加符號(hào)，強(qiáng)制定期改密等防范技術(shù)措施......

然而，哪怕是每個(gè)人一個(gè)密碼，企業(yè)弱密碼現(xiàn)象也仍是普遍存在。因?yàn)槿肆?xí)慣于記憶那些有一定規(guī)律的數(shù)字或字母符合等組合的心理現(xiàn)象是不會(huì)變的。

更何況除了人，企業(yè)網(wǎng)絡(luò)中還有各種安全設(shè)備、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等每天在產(chǎn)生大量密碼！

02

不用密碼就沒有所謂的弱密碼

那是否就消除不了企業(yè)弱密碼現(xiàn)象呢？答案是否定的。

因?yàn)?span style="margin: 0px; padding: 0px; outline: 0px; max-width: 100%; box-sizing: border-box; text-decoration-line: underline; color: rgb(92, 92, 92); overflow-wrap: break-word !important;">身份認(rèn)證的憑據(jù)從來不只密碼一種。我們每個(gè)人都是一個(gè)行走的“密碼庫”，每個(gè)人的“所知（我知道而你不知道）、所持（我持有的東西你沒有）、所有（我獨(dú)有特征你沒有）”，都可以作為身份認(rèn)證的憑據(jù)。

所以，針對(duì)人，企業(yè)可以采用派拉軟件提供的多因素認(rèn)證平臺(tái)。平臺(tái)支持以下多種登錄認(rèn)證方式，企業(yè)可按需設(shè)置：

......

這些登錄認(rèn)證方式不僅加強(qiáng)了安全能力，還提升了員工的登錄體驗(yàn)，同時(shí)還可以直接消除密碼。沒有了密碼，自然也就沒有所謂的弱密碼！

掃描下方二維碼，免費(fèi)申請(qǐng)?jiān)囉门衫浖嘁蛩卣J(rèn)證平臺(tái)！

03

如何消滅企業(yè)其它弱密碼？

然而，上面這種消滅弱密碼的方式存在一定的局限性。對(duì)于企業(yè)員工日常辦公登錄而言，這種方式也許很適用。但企業(yè)弱密碼的來源除了人，還有各種網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等。

這些設(shè)備的賬號(hào)密碼往往又具備共享屬性。這時(shí)候，賬號(hào)密碼的管理方式往往是最佳選擇。換句話說，我們不可能完全消滅企業(yè)中賬號(hào)密碼這一選項(xiàng)。至少，當(dāng)下還不能！

這時(shí)候，怎么辦？

為了幫助企業(yè)真正告別弱密碼，滿足企業(yè)合法合規(guī)的安全等級(jí)要求，派拉軟件自主研發(fā)了弱密碼檢測系統(tǒng)。該系統(tǒng)支持多種加密算法、校驗(yàn)密碼強(qiáng)度，同時(shí)保障整體系統(tǒng)的密碼安全性。整個(gè)系統(tǒng)實(shí)現(xiàn)了從弱密碼發(fā)現(xiàn)，到審計(jì)，再到治理全流程一體化管理。

不可否認(rèn)，我們的生活已經(jīng)被密碼層層包圍：打開手機(jī)屏鎖，登錄QQ、微博，連接無線網(wǎng)，轉(zhuǎn)賬交易，登錄辦公系統(tǒng)等都需要輸入密碼，而密碼又是抵御網(wǎng)絡(luò)攻擊的第一道防線。

或許沒有什么能保證絕對(duì)的安全，使用指紋解鎖、面部解鎖等也不例外。但正因?yàn)槿绱?，我們更要多注意密碼安全，采取與時(shí)俱進(jìn)的技術(shù)保護(hù)措施，并靈活應(yīng)用于企業(yè)安全實(shí)踐操作中。這樣才能在面對(duì)可能發(fā)生的意外時(shí)，更加從容淡定，安全高效地解決問題！