密码太弱该怪谁?用户,真的吗?
相关标签:
最近,我们写了一篇文章,列出了2015年最糟糕的密码列表,证明我们大多数人仍在使用糟糕的密码,比如123456“或者”暗语,“以保护我们的在线账户,一旦被破坏,可能会导致关键信息丢失。
如果最终用户的密码安全性差,那么解决方案就是教育每一位互联网用户遵循最佳密码安全实践。
但这真的有可能吗?实际上,没有。
即使知道了最好的密码安全措施,我们真的为每个网站设置了强大的密码吗?我是说每一天。问问你自己。
谁负责允许用户设置弱密码?
正是这些网站及其开发人员没有对用户实施强大的密码策略,并允许他们使用弱密码注册。
那么,完美的解决方案应该是什么,网站或服务的每个注册成员都应该有一个强大的密码?
大多数互联网用户在注册一个告诉他们密码的网站时会感到恼火:
- 长度必须至少为8个字符
- 必须包括大写和小写字母
- 必须至少包含一个特殊字符
- 必须至少有一个数字字符
不要对这样的网站感到恼火,因为该网站至少考虑到了用户的安全。
另请阅读:最佳密码管理器—;适用于Windows、Linux、Mac、Android、iOS和Enterprise
另请阅读:最佳密码管理器—;适用于Windows、Linux、Mac、Android、iOS和Enterprise
然而,并不是每个网站都提供了强大的密码设置机制,这就是为什么用户依赖绝对糟糕的密码来利用这一点。
Dan Goodin说:“在这个知道我们现在所知道的一切的时代,网站允许用户选择“密码”“1234567”和数百万个已知的弱密码是一种疏忽。”,安全编辑热门科技博客网站告诉THN。
“安全研究人员经常谈论开发一种方法,允许网站将大量弱密码列入黑名单—;比如RockYou dump中的每一个密码以及其他严重的密码泄露—;但到目前为止,我还不知道有任何网站会使用这种方法。在他们这样做之前,密码将继续被破解,"他说。
在数据泄露之后,组织往往会将密码安全性差归咎于最终用户。然而,他们自己却忘了提供一个。
即使是谷歌和Facebook也允许用户为自己的账户设置一个弱密码,只需至少8个字符,以便以更好的可用性面向广大用户。
开发者安全的微软MVP和我的创造者,特洛伊亨特同意这样说:
“问题是,网站运营商面临着安全性与可用性之间的矛盾。如果他们强制使用至少30个字符,他们将非常安全……而且没有客户。”
“为了让系统吸引绝大多数不使用密码管理器的人,他们被迫降低要求。”
However, to be very clear, there is really no such thing as an unbreakable password. Yes, you heard me right…
...即使是强大的密码也可以破解。
黑客可以破解每一个密码
窃取密码是黑客们最古老的行动之一。在继续之前,你还需要知道他们是如何破解你能想到的每个密码的。
有一种密码暴力技术,其中一个简单的密码破解工具可以测试或尝试字母、数字和符号的所有可能组合,直到与您的密码或加密密码匹配(散列)密码。
这样做需要大量的计算能力,但对于较短的密码,这是一种非常可靠和快速的技术。
然而,如果你的密码很强(包含大写、小写、特殊和数字字符),黑客在合理的时间段内破解密码会困难得多;因此,强密码更安全。
你的密码越复杂,猜起来就越难,也越安全。
如何创建和管理强密码
因此,在所有或大多数组织都强大到只接受来自客户的强密码之前,你需要养成为你的在线安全设置强密码的习惯。
下面是如何创建强密码,这也很容易记住。
除此之外,请记住为不同的站点创建不同的密码。这样,如果一个网站被入侵,你在其他网站上的其他在线帐户就足够安全,不会被黑客攻击。
“即使我们看到相当严格的最低要求,他们也无法强制执行唯一性,而且不可避免地,他们持有的许多密码已在其他服务中重复使用。”亨特补充道。
我知道要记住15+个唯一随机的字母数字和特殊字符串,比如,$#%fa4$0,长度只有8个字符,这是一件非常痛苦的事情。
真的能做到吗?
是的,有一个解决方案,即。密码管理器,可以显著减少密码记忆问题,同时解决用户设置弱密码的坏习惯。
最好的密码管理器已经存在,并且在过去几年中已经在帮助解决这个问题方面取得了很大进展。
为什么有些网站会屏蔽“密码管理器”?
通常,密码管理器会生成长、复杂和–;最重要的是–;为您提供唯一的密码,然后将其以加密形式存储在您的计算机或远程服务上。你只需要记住一个主密码就可以输入所有其他密码。
然而,问题是,有许多网站,尤其是银行和金融网站,故意屏蔽密码管理器,使人们难以更轻松地使用更强的密码。
这些网站不允许你将密码粘贴到登录屏幕上,而是强迫你自己输入密码。
“一些网站主动阻止用户使用密码管理器创建凭据,”约瑟夫·考克斯,自由职业安全记者主板,告诉黑客新闻。
“这是因为他们阻止用户将密码粘贴到登录页面,有时使用经理生成的强大且更重要的唯一密码会非常麻烦。有一些解决方法,但在处理像密码这样重要的事情时,为什么要让用户更难?”
那么,这些公司为什么要阻止用户复制和粘贴他们的密码呢?
这些公司表示,禁用密码粘贴是一种安全功能,可以防止密码钓鱼和暴力攻击。
尽管这些公司可能会给出这样做的原因,即他们这样做是在帮助他们的客户,但总体而言,阻止用户将密码粘贴到登录页面是相当薄弱的做法。
"网站有时会说他们已经禁用了粘贴密码来阻止某些类型的恶意软件,例如,“考克斯补充道。”但事实是,重复使用密码比窃取密码的恶意软件更常见。"
高级密码安全实践
弱密码和强密码都容易受到人为错误的影响,因此您需要记住一些要点,以确保数据免受黑客攻击。
1 — 在不同的帐户上使用不同的密码:
如果你两次使用同一个密码,那就是邀请黑客二次侵入你的数据。
如果你在多个网站上重复使用你的密码,而黑客窃取了你的一个密码,那么他们可以访问使用相同密码的所有其他帐户。
因此,为了安全起见,要把事情搞混。在不同的网站和帐户上使用不同的密码。
此外,建议您每隔几个月更改一次密码,这将限制被盗密码对黑客有用的时间。
2 — 使用好的密码管理器:
密码管理器是一个很好的解决方案,可以解决您无法为不同帐户保留强密码的问题。问题是,如今很多人订阅了很多不同的服务,通常很难为每个帐户生成不同的密码。
密码管理器为您访问的每个网站创建一个随机的、不同的密码字符串,然后为您保存这些字符串。通常,您只需记住一个主密码即可打开密码管理器或vault。
要做到这一点,你需要一个好的密码管理工具。达什兰,基帕斯和最后关卡这是一些免费的密码管理器的好选择,你应该试试。
3 — 使用双因素身份验证:
双因素身份验证一直是黑客窃取您帐户凭据的障碍。
“使用诸如两步验证和其他欺诈检测方法等方法,而不是以最低要求解决问题,是在不失去客户的情况下提高安全性的一种更受欢迎的方法。”亨特说。
许多网站,比如谷歌和Facebook,提供了一种被称为双因素身份验证的机制,除了验证密码之外,还可以生成OTP(一次性密码)通过短信或电话发送到手机的验证码。
如果您使用双因素身份验证,即使是拥有您密码的黑客也无法轻松访问您的帐户。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
