Shopify无法防止已知的违反密码

最近的一份报告显示，电子商务提供商Shopify在其网站面向客户的部分使用了特别弱的密码策略。根据该报告，Shopify要求其客户使用长度至少为5个字符的密码，密码不得以空格开头或结尾。

根据该报告，Specops的研究人员分析了一份10亿个已知被破解密码的列表，发现99.7%的密码符合Shopify的要求。虽然这并不意味着Shopify客户的密码已被破解，但许多已知的被破解密码都符合Shopify的最低密码要求，这一事实强调了使用弱密码的危险。

Active Directory中弱密码的危险

Hive Systems最近的一项研究回应了使用弱密码的危险。该研究考察了暴力破解不同长度和复杂程度密码所需的时间。根据Hive Systems的信息图，一个五个字符的密码可以被即时破解，而不管复杂程度如何。考虑到使用暴力破解较短密码的难度，理想情况下，组织应要求长度至少为12个字符的复杂密码。

即使您将与使用五个字符密码相关的安全问题放在一边，也有一个潜在的更大问题-法规遵从性。

人们很容易将监管合规性视为只有大公司才需要担心的事情。因此，许多开设Shopify账户的小型独立卖家可能完全不知道与之相关的监管要求。然而，支付卡行业要求任何接受信用卡支付的企业遵守官方PCI安全标准。

使用第三方支付系统避免PCI要求

使用Shopify或类似电子商务平台的好处之一是零售商不必运营自己的支付卡网关。相反，Shopify代表客户处理交易。这种支付流程的外包使电子商务企业主免受许多PCI要求的影响。

例如，PCI标准要求商户保护存储的持卡人数据。然而，当电子商务企业外包其支付处理时，通常不会拥有客户的信用卡数据。因此，如果企业所有者一开始从未拥有持卡人数据，则可以有效避免保护持卡人的数据。

然而，一个可能更成问题的PCI需求是识别和验证对系统组件的访问的需求（需求8）。尽管PCI安全标准没有规定所需的密码长度，但PCI DSS快速参考指南第19页指出，“每个用户都应具有用于身份验证的强密码。”鉴于这一说法，电子商务零售商很难证明使用五字符密码是合理的。

开始加强内部IT安全

当然，这提出了一个问题，即电子商务公司可以做些什么来提高其整体密码安全性。也许最关键的建议是认识到与电子商务门户相关的最低密码要求可能不够。从安全和法规遵从性的角度来看，通常建议使用比最低要求更长、更复杂的密码。

电子商务零售商应该做的另一件事是认真考虑如何提高自己网络上的密码安全性。如果在您的网络上存储或处理任何客户数据，则尤其如此。根据2019年的一项研究，60%的小公司在被黑客攻击后6个月内关闭。因此，尽你所能防止安全事故非常重要，其中很大一部分涉及确保密码安全。

Windows操作系统包含可以控制密码长度和复杂性要求的帐户策略设置。虽然这些控制无疑非常重要，但Specops密码策略可以帮助组织构建比仅使用内置于Windows中的本机工具更强大的密码策略。

Specops密码策略提供的最引人注目的功能之一是，它能够将组织内使用的密码与已知已泄露的数十亿密码数据库进行比较。这样，如果发现用户使用的密码被泄露，则可以在出现问题之前更改密码。

Specops密码策略还允许组织创建不应包含在密码中的禁用单词或短语列表。例如，管理员可以创建一个策略，以防止用户将您的公司名称作为密码的一部分。

此外，组织可以使用Specops密码策略来阻止用户通常用于规避密码复杂性要求的技术。这可能包括使用连续重复字符（如99999）或用类似的符号（如$而不是s）替换字母。

归根结底，Specops密码策略可以帮助您的组织创建一个安全得多的密码策略，从而使网络罪犯更难访问您的用户帐户。您可以随时在Active Directory中免费测试Specops密码策略。