今日數(shù)字世界，口令安全比以往更重要。盡管生物特征識(shí)別、一次性口令(OTP)和其他新興身份驗(yàn)證形式經(jīng)常被吹捧為傳統(tǒng)口令的替代品，但替代傳統(tǒng)口令如今仍不過(guò)是營(yíng)銷(xiāo)炒作而已。

不過(guò)，口令不會(huì)很快退出歷史舞臺(tái)，并不意味著企業(yè)現(xiàn)在就不需要現(xiàn)代化其口令安全方法。

[[408041]]

▶ 被盜憑證危機(jī)

正如微軟安全團(tuán)隊(duì)指出的，“只需要一個(gè)被盜憑證，就能引發(fā)一場(chǎng)數(shù)據(jù)泄露”。再加上屢禁不止的口令重用問(wèn)題，被盜口令可對(duì)企業(yè)安全造成重大而長(zhǎng)期的影響。

事實(shí)上，弗吉尼亞理工大學(xué)的研究人員發(fā)現(xiàn)，口令泄露后，超過(guò)70%的用戶(hù)還會(huì)在其他賬戶(hù)上使用該被盜口令長(zhǎng)達(dá)一年時(shí)間;40%的用戶(hù)會(huì)重用三年前就被泄的口令。

雖然被盜憑證問(wèn)題對(duì)大多數(shù)IT主管而言不是什么新鮮事，但他們可能會(huì)很驚訝地發(fā)現(xiàn)：自己解決該問(wèn)題的諸多嘗試常常會(huì)造成更多安全漏洞。

此類(lèi)反而會(huì)削弱口令安全的傳統(tǒng)方法很多，舉例如下：

• 強(qiáng)制口令復(fù)雜性
• 定期重置口令
• 限制口令長(zhǎng)度與字符使用
• 要求特殊字符

▶ 現(xiàn)代口令安全方法

考慮到與這些傳統(tǒng)方法相關(guān)聯(lián)的漏洞，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)修訂了其口令安全建議，鼓勵(lì)用戶(hù)采用更現(xiàn)代的口令安全最佳實(shí)踐。NIST更新其口令安全建議的根源在于其認(rèn)識(shí)到，如果用戶(hù)被迫創(chuàng)建符合復(fù)雜性要求的口令，或者被迫定期重置口令，人為因素往往會(huì)導(dǎo)致出現(xiàn)安全漏洞。

例如，如果要求口令中包含特殊字符和數(shù)字，用戶(hù)可能會(huì)選擇“P@ssword1”這種最基本的形式，這種憑證明顯十分常見(jiàn)，很容易被黑客利用?？赡軐?duì)口令安全造成負(fù)面影響的另一種傳統(tǒng)方法，是禁止在口令中使用空格符或各種特殊字符的策略。畢竟，如果想讓用戶(hù)創(chuàng)建容易記憶的獨(dú)特強(qiáng)口令，又何必對(duì)其形態(tài)強(qiáng)加諸多限制呢?

此外，NIST如今還建議取消定期口令重置，并建議公司僅在有證據(jù)表明口令被泄的情況下才要求更改口令。

▶ 憑證篩選解決方案的作用

那么，公司如何監(jiān)測(cè)口令被盜跡象?可以采用NIST的另一項(xiàng)建議：企業(yè)對(duì)照包含常用被盜憑證的黑名單持續(xù)篩選口令。

可能聽(tīng)起來(lái)夠簡(jiǎn)單，但當(dāng)今嚴(yán)峻的威脅形勢(shì)下，選擇合適的被盜憑證篩選解決方案可謂十分重要。

[[408042]]

▶ 動(dòng)態(tài)解決方案必不可少

網(wǎng)上有很多靜態(tài)黑名單可用，有些公司甚至編制了自己的靜態(tài)黑名單。但如今這種隨時(shí)都有數(shù)據(jù)泄露事件發(fā)生的情況下，新鮮被盜憑證不斷涌向暗網(wǎng)，可供黑客持續(xù)用于發(fā)起攻擊。現(xiàn)有黑名單或僅每年定期更新的黑名單是應(yīng)付不了這種高風(fēng)險(xiǎn)環(huán)境的。

Enzoic的動(dòng)態(tài)解決方案對(duì)照包含數(shù)十億被盜口令的專(zhuān)有數(shù)據(jù)庫(kù)篩選憑證。數(shù)據(jù)庫(kù)中的被盜口令要么出自數(shù)據(jù)泄露事件，要么來(lái)自破解字典。由于該數(shù)據(jù)庫(kù)每天自動(dòng)更新多次，在自身口令安全是否緊跟最新數(shù)據(jù)泄露情報(bào)方面，公司可以放心，無(wú)需投入額外的IT工作。

現(xiàn)代口令安全方法的重要組成部分還包括在口令創(chuàng)建時(shí)篩選憑證，以及在創(chuàng)建后持續(xù)監(jiān)測(cè)其完整性。如果之前安全的口令后來(lái)被泄露，公司可以自動(dòng)執(zhí)行適當(dāng)?shù)牟僮?，例如，在下次登錄時(shí)強(qiáng)制重置口令，或者在IT展開(kāi)調(diào)查前完全禁止訪問(wèn)。

▶ 前路漫漫

盡管NIST指南通常會(huì)為整個(gè)安全行業(yè)提供最佳實(shí)踐建議，但最終還是要靠安全主管來(lái)決定什么才是最適合公司獨(dú)特需求的，并相應(yīng)地調(diào)整公司策略。

取決于所處行業(yè)、公司規(guī)模和其他隱私，或許某些建議并不適合你的公司。

但是，每天接二連三的網(wǎng)絡(luò)攻擊沒(méi)有減弱的跡象，而且常因口令漏洞造成，我們很難想象會(huì)有哪個(gè)公司不會(huì)從憑證篩選提供的額外安全層中獲益。