1億個密碼遭泄漏，“最弱密碼”繼續(xù)領跑，企業(yè)“弱密碼”亟需消滅！

IT之家 1 月 20 日消息，安全研究人員發(fā)現(xiàn)了有史以來最大的密碼泄露事件之一，包含 7084 萬個電子郵件地址以及超過 1 億個密碼憑證，至少有超過 40 萬 Have I Been Pwned（HIBP）用戶受到影響。

一直以來，身份與訪問管理（IAM）就是企業(yè)數(shù)據(jù)安全的重災區(qū)，而“弱密碼”更是震中。據(jù)2023年11月，NordPass 公布的 2023 年最常用的 200 個密碼。不出所料，“123456”繼續(xù)領跑年度“最弱密碼”榜首！

早在2011年，美國某密碼管理應用程序提供商就開始統(tǒng)計年度“最弱密碼”榜單，“123456”就是其中的“老主顧”，且一直位列“前茅”。而這樣的弱密碼往往只需要使用簡單的暴力破解工具在1秒內即可破解。

盡管，我們都非常清楚地知道弱密碼的危害大、破壞強、影響廣......可為什么弱密碼現(xiàn)象卻總是在企業(yè)中屢禁不止呢？

01

弱密碼現(xiàn)象為何屢禁不止？

回答這個問題之前，我們首先來了解下什么是弱密碼？顧名思義，弱密碼簡單理解就是容易破譯的密碼。這樣的密碼往往具備以下幾點特征：

1、密碼長度少于8個字符；

2、字典中的單詞；

3、多為簡單數(shù)字組合、帳號與數(shù)字組合、鍵盤上臨近鍵或常見姓名，如“123456”等；

4、默認密碼，例如無線路由器常見的初始密碼admin；

5、姓名、生日、QQ、電話號碼、郵箱等，或它們的組合。

仔細回想一下，你設置的密碼是不是基本逃不出這5大特征？

既然我們了解了弱密碼的特征，那改掉不就行了嗎？可事實卻是，改掉并沒有想象中的那么容易。

眾所周知，企業(yè)為了滿足國家政策法規(guī)對密碼安全要求，減輕員工賬號密碼負擔，做了很多努力。

例如，上線單點登錄系統(tǒng)，實現(xiàn)一個賬號密碼即可登錄所有業(yè)務系統(tǒng)，減輕密碼記憶負擔；設置密碼長度，要求密碼區(qū)大小寫、添加符號，強制定期改密等防范技術措施......

然而，哪怕是每個人一個密碼，企業(yè)弱密碼現(xiàn)象也仍是普遍存在。因為人習慣于記憶那些有一定規(guī)律的數(shù)字或字母符合等組合的心理現(xiàn)象是不會變的。

更何況除了人，企業(yè)網絡中還有各種安全設備、網絡設備、應用系統(tǒng)等每天在產生大量密碼！

02

不用密碼就沒有所謂的弱密碼

那是否就消除不了企業(yè)弱密碼現(xiàn)象呢？答案是否定的。

因為身份認證的憑據(jù)從來不只密碼一種。我們每個人都是一個行走的“密碼庫”，每個人的“所知（我知道而你不知道）、所持（我持有的東西你沒有）、所有（我獨有特征你沒有）”，都可以作為身份認證的憑據(jù)。

所以，針對人，企業(yè)可以采用派拉軟件提供的多因素認證平臺。平臺支持以下多種登錄認證方式，企業(yè)可按需設置：

......

這些登錄認證方式不僅加強了安全能力，還提升了員工的登錄體驗，同時還可以直接消除密碼。沒有了密碼，自然也就沒有所謂的弱密碼！

掃描下方二維碼，免費申請試用派拉軟件多因素認證平臺！

03

如何消滅企業(yè)其它弱密碼？

然而，上面這種消滅弱密碼的方式存在一定的局限性。對于企業(yè)員工日常辦公登錄而言，這種方式也許很適用。但企業(yè)弱密碼的來源除了人，還有各種網絡設備、應用系統(tǒng)等。

這些設備的賬號密碼往往又具備共享屬性。這時候，賬號密碼的管理方式往往是最佳選擇。換句話說，我們不可能完全消滅企業(yè)中賬號密碼這一選項。至少，當下還不能！

這時候，怎么辦？

為了幫助企業(yè)真正告別弱密碼，滿足企業(yè)合法合規(guī)的安全等級要求，派拉軟件自主研發(fā)了弱密碼檢測系統(tǒng)。該系統(tǒng)支持多種加密算法、校驗密碼強度，同時保障整體系統(tǒng)的密碼安全性。整個系統(tǒng)實現(xiàn)了從弱密碼發(fā)現(xiàn)，到審計，再到治理全流程一體化管理。

不可否認，我們的生活已經被密碼層層包圍：打開手機屏鎖，登錄QQ、微博，連接無線網，轉賬交易，登錄辦公系統(tǒng)等都需要輸入密碼，而密碼又是抵御網絡攻擊的第一道防線。

或許沒有什么能保證絕對的安全，使用指紋解鎖、面部解鎖等也不例外。但正因為如此，我們更要多注意密碼安全，采取與時俱進的技術保護措施，并靈活應用于企業(yè)安全實踐操作中。這樣才能在面對可能發(fā)生的意外時，更加從容淡定，安全高效地解決問題！