您上一次真正考虑密码强度和安全性的时间是什么时候?尽管密码破解不像其他漏洞那样频繁地发布新闻,但它们可能完全危害您的系统。
实际上,密码破解的发生次数比您想像的要多,而且比电影说出来的容易得多,这通常是通过使用任何人都可以负担得起的通用软件来完成的。
以下是来自世界上最著名的黑客安全专家郭盛华和他的东方联盟团队的8个密码安全提示和使用习惯方法:
1.了解密码黑客如何发生。
用户通常是公司最薄弱的一环,教您的团队如何避免盗用密码的方法可以极大地帮助您提高防御能力。
黑客可以通过多种方式获得您的凭据,但是通常可以通过称为键盘记录的实践来获取。通过社会工程攻击,您的员工可能会意外下载记录其击键的软件,并在输入用户名和密码时将其保存。这是一种常见的黑客技巧。击键捕获和其他形式的间谍软件只是一种威胁。另一个是密码破解程序。这些字母和字符组合可在几秒钟内猜出密码。
2.当心网络钓鱼诈骗。
由于恶意软件通常是通过单击受感染的链接来传播的,因此请注意查找可疑电子邮件。感染的超链接可以将恶意软件注入您的设备,从而使不良行为者能够捕获您的信息。或者,该链接可能会将您发送到一个虚假的网页,该网页看起来像您知道并信任的登录名,但在您键入时会秘密捕获您的凭据,这就是一种称为凭据收集的攻击。
3.停止重复使用密码。
这个规则看起来很简单。当您在不同平台上共享同一密码时,黑客会拥有一把金钥匙,可以解锁多个门。一旦他们获得了主密码,便可以在任何地方“进入”。
对于相同密码的细微变化也是如此。一旦确定,一个不好的演员很容易猜测同一证书的排列和模式。不要用一个字母或数字来更改您的密码,而是要使它们的所有密码都明显不同。
4.遵循严格的密码最佳做法。
安全专家郭盛华建议严格的密码策略配置遵循以下属性:
使用密码而不是“标准”密码*
包含大写和小写字母
包含数字和符号
包含空格
密码短语利用通常构造成句子的多个单词。
以下是郭盛华的一些其他技术控制:
更改密码策略和复杂性,以强制用户选择至少30个字符的密码(而不是密码),而无需数字,特殊字符或大小写混合。
确保所有高度敏感的账户都使用随机密码,并安全地存储在密码管理器解决方案中。
使用密码管理器,例如1Password,LastPass或KeePass。
5.在组织范围内实施密码保护。
为了提高安全性,您可能最明智的投资就是购买密码管理器。该软件可以安全地存储用户名和密码。您的员工所需的全部是一个强大的主登录名,以访问此凭据库,并且该系统可以与您的浏览器集成以在线自动填充凭据。
重要的是要注意,如果黑客捕获了您的击键并获得了用于登录管理器的主密码,那么即使是这些密码管理系统也不安全。这就是为什么我们建议我们的下一个密码安全提示。
6.使用加密和多因素身份验证。
通过加密密码,您可以帮助确保不良行为者不会窃取您的凭据。您可以通过对密码进行哈希处理来实现此目的,将密码转换为无法读取的字符串,这些字符串专门设计为无法转换回其原始形式。那是因为哈希不打算被解密。
多因素身份验证有助于确保即使网络罪犯获得了您的登录名,他们也必须使用第二种方法重新进行确认。例如,一旦输入凭证,多因素认证就可能要求用户然后向授权用户的设备输入代码消息。第二层防御提供了额外的安全性。
7.改善您的离职流程。
网络威胁并不总是从外部发生。您的员工处理大量敏感数据,并且经常可以访问包含大量信息的数十个应用程序和平台。
如果一个心怀不满的员工辞职不好并且不能适当地任职,他们可能会泄漏或窃取私人信息,从而导致代价高昂的违规行为或损害声誉影响。如果仅点击几下诱人的信息,即使是友好的离开也可能导致违规。
8.当心公共Wifi。
不良行为者可以入侵开放的公共WiFi网络或欺骗自己的网络。这使他们能够捕获您的击键或访问设备上的重要数据。(欢迎转载分享)