《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 如何補充加強密碼?

如何補充加強密碼?

2021-09-25
來源:祺印說信安
關(guān)鍵詞: 密碼

  為什么密碼不夠用?

  密碼是很好的第一層保護,但攻擊者可以猜測或攔截密碼。即使攻擊者確實獲得了密碼,其他安全措施也可以保護??梢酝ㄟ^避免使用基于個人信息的密碼來加強第一層保護;使用最長的密碼或密碼短語(8-64 個字符);并且不與其他人共享密碼。

  有哪些額外的安全密碼可用?

  同時使用多條信息來驗證身份的多因素身份驗證 (MFA)正變得越來越普遍。(MFA 有時被稱為兩因素身份驗證。)即使攻擊者獲得了用戶密碼,如果賬戶受 MFA 保護,他們也可能無法訪問用戶賬戶。這種方法背后的理論類似于需要兩種或兩種以上形式的身份證明或兩把鑰匙才能打開保險箱。用戶應(yīng)該在 MFA 可用的地方打開它。驗證類別包括你知道的信息,你擁有什么的事物,以及你自身特征。

  知道的信息– 這包括密碼或預(yù)先確定的問題答案。

  擁有的東西- 這可能是一個小的物理令牌,例如智能卡、特殊的密鑰卡或 USB 驅(qū)動器??梢詫⒋肆钆婆c密碼結(jié)合使用以登錄賬戶。然而,基于軟件的令牌也很常見。這些基于軟件的令牌可以生成一次性登錄個人識別碼 (PIN)。其他變體包括通過驗證 PIN 發(fā)送給用戶的 SMS 消息、電話或電子郵件。這些令牌 PIN 通常只能使用一次,并在使用后立即作廢。因此,即使攻擊者攔截了信息,攻擊者也將無法再次使用該信息訪問用戶帳戶。

  自身特征——生物識別可以包括掃描眼睛(視網(wǎng)膜或虹膜)或指紋、其他面部識別、語音識別或通過簽名或擊鍵動作進行身份驗證。生物識別的一個常見示例是用于在許多現(xiàn)代智能手機上登錄用戶的指紋掃描儀。

  另一種驗證形式是使用個人網(wǎng)絡(luò)證書。與用于識別網(wǎng)站的證書不同,個人 Web 證書用于識別個人用戶。使用個人 Web 證書的網(wǎng)站依賴于這些證書和相應(yīng)公鑰/私鑰的身份驗證過程來驗證用戶身份。因為識別用戶信息嵌入在證書中,所以不需要額外的密碼。但是,用戶應(yīng)該有一個密碼來保護自己的私鑰,這樣攻擊者就無法訪問用戶的密鑰,無法偽造用戶的身份。此過程與 MFA 類似,但有所不同 - 保護用戶私鑰的密碼用于解密用戶計算機上的信息,絕不會通過網(wǎng)絡(luò)發(fā)送。

  還有哪些措施可以確保您的密碼安全?

  信息技術(shù) (IT) 安全專業(yè)人員和管理員應(yīng)實施以下安全措施以進一步保護密碼:

  “鹽和哈?!泵艽a。加鹽是在密碼散列之前向密碼添加唯一的隨機字符。鹽值的長度不應(yīng)小于 32 位。散列是使用一組算法對密碼進行加擾的過程。

  使用強身份驗證恢復(fù)機制。弱身份驗證恢復(fù)機制可能會被濫用,以允許攻擊者未經(jīng)授權(quán)訪問受影響的系統(tǒng)。強大的機制可防止未經(jīng)授權(quán)訪問賬戶或重置用戶密碼。

  實施賬戶鎖定政策。賬戶鎖定應(yīng)在預(yù)定義的失敗嘗試次數(shù)后啟動。

  將賬戶設(shè)置為自動禁用。賬戶在預(yù)定時間處于非活動狀態(tài)后應(yīng)自動退出系統(tǒng)被禁用。

  如果用戶丟失了密碼或證書怎么辦?

  也許用戶忘記了密碼,或者重新格式化了計算機并丟失了個人網(wǎng)絡(luò)證書。大多數(shù)組織都有在這些情況下允許用戶訪問自己信息的程序。為了獲得最佳安全性,請及時更新賬戶中的信息。這包括備用電子郵件地址或電話號碼,可在忘記密碼時幫助驗證自己的身份。

  對于證書,可能需要請求組織為用戶頒發(fā)新證書。在密碼的情況下,可能只需要提醒。無論發(fā)生什么,組織都需要一種方法來驗證用戶的身份。為此,許多組織依賴秘密問題。

  當(dāng)用戶開設(shè)一個新賬戶(例如電子郵件、信用卡)時,一些組織會提示用戶提供問題的答案。如果用戶忘記密碼或通過電話請求有關(guān)賬戶的信息,他們可能會問用戶設(shè)置的問題。如果用戶的答案與他們存檔的答案相符,他們將假定他們實際上是在與用戶溝通。理論上,秘密問答可以保護用戶的信息。然而,常見的秘密問題會詢問母親的婚前姓氏、社會安全號碼、出生日期或?qū)櫸锏拿郑谥袊鴦t可能是小學(xué)在那里上的等問題。由于現(xiàn)在可以在線或通過其他公共來源獲得如此多的個人信息,攻擊者或許能夠找到這些問題的答案。

  將秘密問題視為附加密碼——在確定答案時,不要提供真實信息。像選擇任何其他好的密碼一樣選擇自己答案,將其存儲在安全位置(例如,密碼管理器),并且不要與其他人共享。

  雖然額外的安全措施為用戶提供比單獨使用密碼更多的保護,但不應(yīng)認為它們是完全有效的。提高安全級別只會讓攻擊者更難訪問用戶的信息。在選擇可以訪問用戶個人信息的銀行、信用卡公司或其他組織時,請注意 MFA 和其他安全實踐。要勇于咨詢?yōu)樽约悍?wù)的組織在使用哪種安全實踐措施。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。