?譯者 | 布加迪

審校 | 孫淑娟

密碼是用于確保安全訪問(wèn)系統(tǒng)的最基本、最常用的身份驗(yàn)證方法。但是為眾多平臺(tái)使用和維護(hù)安全密碼的過(guò)程可能相當(dāng)乏味。據(jù)Verizon發(fā)布的《2020年數(shù)據(jù)泄露調(diào)查報(bào)告》顯示，薄弱、重復(fù)使用的密碼導(dǎo)致了81%的數(shù)據(jù)泄露事件。除此之外，還有更多與密碼有關(guān)的漏洞和風(fēng)險(xiǎn)，如今密碼成了一種越來(lái)越不合適的身份驗(yàn)證方案。

一、密碼的三大問(wèn)題

人類(lèi)行為和密碼——許多人圖方便而不是圖安全。使用簡(jiǎn)單、易記的密碼，或者在所有不同的平臺(tái)上使用同一個(gè)密碼是很常見(jiàn)的做法。此外，共享密碼和使用不安全的方法存儲(chǔ)密碼是導(dǎo)致大多數(shù)密碼攻擊的主要原因。做好適當(dāng)安全的密碼保護(hù)既是您個(gè)人的責(zé)任，也是貴組織的責(zé)任。

復(fù)雜的管理——許多組織設(shè)置的密碼策略要求員工經(jīng)常更改密碼、記住多個(gè)復(fù)雜的密碼，并在忘記密碼時(shí)重新設(shè)置密碼，這一切花費(fèi)大量的時(shí)間和支持資源。對(duì)于員工來(lái)說(shuō)，在處理密碼時(shí)，其中許多程序效率低下、不方便且不現(xiàn)實(shí)。這也給IT部門(mén)帶來(lái)了解決密碼相關(guān)問(wèn)題方面的巨大負(fù)擔(dān)。同樣，個(gè)人也為流行的網(wǎng)站和應(yīng)用程序在密碼方面的諸多要求而苦惱。

越來(lái)越多的密碼泄露——據(jù)安全網(wǎng)站HackerNoon報(bào)道，1400萬(wàn)個(gè)密碼中80%以上可以在短短20小時(shí)內(nèi)被破解。如今攻擊者擁有強(qiáng)大的工具和程序，可以專(zhuān)門(mén)破解密碼。然后，所有泄露的密碼都被發(fā)布在暗網(wǎng)上，用于撞庫(kù)和密碼噴灑等攻擊。

二、密碼攻擊類(lèi)型

密碼攻擊包括通過(guò)各種技術(shù)和攻擊工具利用系統(tǒng)授權(quán)漏洞。威脅分子使用強(qiáng)大的攻擊實(shí)現(xiàn)自動(dòng)化，主要在短時(shí)間內(nèi)大規(guī)模攻擊特權(quán)帳戶。作為一名安全專(zhuān)業(yè)人員，有必要了解一些最流行的攻擊類(lèi)型及其防御方法：

1、社會(huì)工程和人類(lèi)發(fā)起的攻擊

網(wǎng)絡(luò)釣魚(yú)攻擊——這是最常見(jiàn)的社會(huì)工程密碼攻擊。它們使用各種方法引誘用戶點(diǎn)擊惡意鏈接。避免網(wǎng)絡(luò)釣魚(yú)攻擊的一些最佳方法包括尋找可疑的電子郵件標(biāo)題、主題、附件和鏈接。拼寫(xiě)錯(cuò)誤、域名拼寫(xiě)混亂、偽造標(biāo)志以及寫(xiě)得不好的電子郵件也表明來(lái)源可疑。

竊聽(tīng)和背后偷窺——竊聽(tīng)是指通過(guò)語(yǔ)音或數(shù)字手段泄露密碼。您是否無(wú)意中偷聽(tīng)到有人在打電話時(shí)背誦機(jī)密信息？犯罪分子會(huì)利用這種粗心的行為，收集盡可能多的信息。遵循適當(dāng)?shù)陌踩龇ㄒ约傲己玫碾娫挾Y儀，可以防止您成為竊聽(tīng)的受害者。

背后偷窺指攻擊者通過(guò)觀察一個(gè)人在鍵盤(pán)上輸入密碼或PIN碼來(lái)獲取憑據(jù)。在偷手機(jī)之前，手機(jī)竊賊可能偷看您輸入或者刷屏幕鎖碼，這讓您的數(shù)據(jù)處于危險(xiǎn)之中。對(duì)周?chē)娜吮３志?，解鎖設(shè)備時(shí)擋住屏幕可以保護(hù)您的信息。

2、猜測(cè)密碼的攻擊

字典攻擊——使用預(yù)定義的單詞列表，單詞來(lái)自以前泄密事件中的密碼。字典攻擊中使用的攻擊工具可以為密碼添加更多的后綴和前綴，猜測(cè)攻擊目標(biāo)的特征，進(jìn)一步增加了破解密碼的機(jī)會(huì)。

蠻力攻擊——一種嘗試所有可能的密碼組合的試錯(cuò)方法。抵御蠻力破解的最好方法是使用長(zhǎng)密碼，而不是標(biāo)準(zhǔn)密碼。

密碼噴灑攻擊——威脅分子嘗試使用同一個(gè)密碼訪問(wèn)多個(gè)帳戶，然后再?lài)L試另一個(gè)密碼。這種攻擊不會(huì)引起任何懷疑，因?yàn)橥{分子將攻擊分散在多個(gè)帳戶當(dāng)中，而不是針對(duì)單個(gè)帳戶進(jìn)行多次攻擊。這種攻擊在管理員未能更改默認(rèn)密碼的網(wǎng)站和平臺(tái)上最為成功。

三、如何防止密碼攻擊？

組織可以為密碼管理設(shè)置強(qiáng)大的安全協(xié)議和機(jī)制，以應(yīng)對(duì)現(xiàn)代威脅和攻擊。個(gè)人也可以養(yǎng)成良好的密碼保護(hù)習(xí)慣。據(jù)NIST指南顯示，建議使用長(zhǎng)度為8個(gè)至64個(gè)字符的密碼和長(zhǎng)密碼短語(yǔ)。密碼短語(yǔ)可以阻止蠻力攻擊，它們并不與密碼字典中的條目匹配，也不包含個(gè)人身份信息。使用密碼管理軟件以避免重復(fù)使用密碼，只有在密碼泄露或遺忘時(shí)才重置密碼。

啟用多因素身份驗(yàn)證（MFA）是對(duì)帳戶的最佳保護(hù)。使用密碼作為唯一的身份驗(yàn)證機(jī)制會(huì)帶來(lái)巨大的安全風(fēng)險(xiǎn)。一次性密碼（OTP）、硬件令牌和身份驗(yàn)證應(yīng)用程序?qū)⑻岣吣膫€(gè)人安全性。

四、密碼的未來(lái)

由于基于密碼的攻擊越來(lái)越多，未來(lái)很可能會(huì)使用無(wú)密碼身份驗(yàn)證。無(wú)密碼身份驗(yàn)證本質(zhì)上更安全，因?yàn)闆](méi)有傳統(tǒng)意義上的密碼被泄露。最常見(jiàn)的無(wú)密碼身份驗(yàn)證方法是生物特征識(shí)別、OTP碼、推送通知和神奇鏈接。神奇鏈接是一種方法，它不向用戶請(qǐng)求密碼，而是創(chuàng)建支持登錄的唯一鏈接，并通過(guò)電子郵件發(fā)送。

五、結(jié)論

密碼已經(jīng)成為一種過(guò)時(shí)的身份驗(yàn)證方法，容易受到許多威脅和攻擊。僅使用基于密碼的身份驗(yàn)證方法現(xiàn)在被認(rèn)為不太安全，因?yàn)榇嬖跓o(wú)數(shù)可用的密碼攻擊。雖然組織有特殊的工具來(lái)執(zhí)行良好的身份驗(yàn)證策略，但個(gè)人也應(yīng)該提高帳戶安全性。采用MFA和基于無(wú)密碼的身份驗(yàn)證方法是一種簡(jiǎn)單又免費(fèi)的方法，可以立即保護(hù)您的帳戶。

原文鏈接：https://www.tripwire.com/state-of-security/are-passwords-really-safe-we-think