今日數(shù)字世界����,口令安全比以往更重要。盡管生物特征識(shí)別���、一次性口令(OTP)和其他新興身份驗(yàn)證形式經(jīng)常被吹捧為傳統(tǒng)口令的替代品���,但替代傳統(tǒng)口令如今仍不過是營(yíng)銷炒作而已����。
不過��,口令不會(huì)很快退出歷史舞臺(tái)�����,并不意味著企業(yè)現(xiàn)在就不需要現(xiàn)代化其口令安全方法�����。
? 被盜憑證危機(jī)
正如微軟安全團(tuán)隊(duì)指出的�����,“只需要一個(gè)被盜憑證��,就能引發(fā)一場(chǎng)數(shù)據(jù)泄露”����。再加上屢禁不止的口令重用問題,被盜口令可對(duì)企業(yè)安全造成重大而長(zhǎng)期的影響���。
事實(shí)上���,弗吉尼亞理工大學(xué)的研究人員發(fā)現(xiàn)���,口令泄露后,超過70%的用戶還會(huì)在其他賬戶上使用該被盜口令長(zhǎng)達(dá)一年時(shí)間��;40%的用戶會(huì)重用三年前就被泄的口令����。
雖然被盜憑證問題對(duì)大多數(shù)IT主管而言不是什么新鮮事,但他們可能會(huì)很驚訝地發(fā)現(xiàn):自己解決該問題的諸多嘗試常常會(huì)造成更多安全漏洞��。
此類反而會(huì)削弱口令安全的傳統(tǒng)方法很多����,舉例如下:
● 強(qiáng)制口令復(fù)雜性
● 定期重置口令
● 限制口令長(zhǎng)度與字符使用
● 要求特殊字符
? 現(xiàn)代口令安全方法
考慮到與這些傳統(tǒng)方法相關(guān)聯(lián)的漏洞��,美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)修訂了其口令安全建議��,鼓勵(lì)用戶采用更現(xiàn)代的口令安全最佳實(shí)踐����。NIST更新其口令安全建議的根源在于其認(rèn)識(shí)到,如果用戶被迫創(chuàng)建符合復(fù)雜性要求的口令�,或者被迫定期重置口令�����,人為因素往往會(huì)導(dǎo)致出現(xiàn)安全漏洞��。
例如����,如果要求口令中包含特殊字符和數(shù)字�����,用戶可能會(huì)選擇“P@ssword1”這種最基本的形式��,這種憑證明顯十分常見���,很容易被黑客利用���。可能對(duì)口令安全造成負(fù)面影響的另一種傳統(tǒng)方法���,是禁止在口令中使用空格符或各種特殊字符的策略����。畢竟,如果想讓用戶創(chuàng)建容易記憶的獨(dú)特強(qiáng)口令��,又何必對(duì)其形態(tài)強(qiáng)加諸多限制呢�����?
此外�,NIST如今還建議取消定期口令重置,并建議公司僅在有證據(jù)表明口令被泄的情況下才要求更改口令���。
? 憑證篩選解決方案的作用
那么����,公司如何監(jiān)測(cè)口令被盜跡象����?可以采用NIST的另一項(xiàng)建議:企業(yè)對(duì)照包含常用被盜憑證的黑名單持續(xù)篩選口令����。
可能聽起來(lái)夠簡(jiǎn)單,但當(dāng)今嚴(yán)峻的威脅形勢(shì)下���,選擇合適的被盜憑證篩選解決方案可謂十分重要�����。
? 動(dòng)態(tài)解決方案必不可少
網(wǎng)上有很多靜態(tài)黑名單可用���,有些公司甚至編制了自己的靜態(tài)黑名單����。但如今這種隨時(shí)都有數(shù)據(jù)泄露事件發(fā)生的情況下��,新鮮被盜憑證不斷涌向暗網(wǎng)��,可供黑客持續(xù)用于發(fā)起攻擊?��,F(xiàn)有黑名單或僅每年定期更新的黑名單是應(yīng)付不了這種高風(fēng)險(xiǎn)環(huán)境的���。
Enzoic的動(dòng)態(tài)解決方案對(duì)照包含數(shù)十億被盜口令的專有數(shù)據(jù)庫(kù)篩選憑證。數(shù)據(jù)庫(kù)中的被盜口令要么出自數(shù)據(jù)泄露事件���,要么來(lái)自破解字典��。由于該數(shù)據(jù)庫(kù)每天自動(dòng)更新多次���,在自身口令安全是否緊跟最新數(shù)據(jù)泄露情報(bào)方面����,公司可以放心��,無(wú)需投入額外的IT工作�����。
現(xiàn)代口令安全方法的重要組成部分還包括在口令創(chuàng)建時(shí)篩選憑證���,以及在創(chuàng)建后持續(xù)監(jiān)測(cè)其完整性�。如果之前安全的口令后來(lái)被泄露����,公司可以自動(dòng)執(zhí)行適當(dāng)?shù)牟僮鳎?,在下次登錄時(shí)強(qiáng)制重置口令,或者在IT展開調(diào)查前完全禁止訪問�。
? 前路漫漫
盡管NIST指南通常會(huì)為整個(gè)安全行業(yè)提供最佳實(shí)踐建議�,但最終還是要靠安全主管來(lái)決定什么才是最適合公司獨(dú)特需求的,并相應(yīng)地調(diào)整公司策略��。
取決于所處行業(yè)���、公司規(guī)模和其他隱私�����,或許某些建議并不適合你的公司��。
但是���,每天接二連三的網(wǎng)絡(luò)攻擊沒有減弱的跡象��,而且常因口令漏洞造成�����,我們很難想象會(huì)有哪個(gè)公司不會(huì)從憑證篩選提供的額外安全層中獲益�����。
來(lái)源: 數(shù)世咨詢
在線咨詢
在線咨詢
0371-63319761