不過,口令不會很快退出歷史舞臺,并不意味著企業(yè)現(xiàn)在就不需要現(xiàn)代化其口令安全方法。
?被盜憑證危機(jī)
正如微軟安全團(tuán)隊指出的,“只需要一個被盜憑證,就能引發(fā)一場數(shù)據(jù)泄露”。再加上屢禁不止的口令重用問題,被盜口令可對企業(yè)安全造成重大而長期的影響。
事實上,弗吉尼亞理工大學(xué)的研究人員發(fā)現(xiàn),口令泄露后,超過70%的用戶還會在其他賬戶上使用該被盜口令長達(dá)一年時間;40%的用戶會重用三年前就被泄的口令。
雖然被盜憑證問題對大多數(shù)IT主管而言不是什么新鮮事,但他們可能會很驚訝地發(fā)現(xiàn):自己解決該問題的諸多嘗試常常會造成更多安全漏洞。
此類反而會削弱口令安全的傳統(tǒng)方法很多,舉例如下:
強(qiáng)制口令復(fù)雜性
定期重置口令
限制口令長度與字符使用
要求特殊字符
?現(xiàn)代口令安全方法
考慮到與這些傳統(tǒng)方法相關(guān)聯(lián)的漏洞,美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)修訂了其口令安全建議,鼓勵用戶采用更現(xiàn)代的口令安全最佳實踐。NIST更新其口令安全建議的根源在于其認(rèn)識到,如果用戶被迫創(chuàng)建符合復(fù)雜性要求的口令,或者被迫定期重置口令,人為因素往往會導(dǎo)致出現(xiàn)安全漏洞。
例如,如果要求口令中包含特殊字符和數(shù)字,用戶可能會選擇“P@ssword1”這種最基本的形式,這種憑證明顯十分常見,很容易被黑客利用。可能對口令安全造成負(fù)面影響的另一種傳統(tǒng)方法,是禁止在口令中使用空格符或各種特殊字符的策略。畢竟,如果想讓用戶創(chuàng)建容易記憶的獨特強(qiáng)口令,又何必對其形態(tài)強(qiáng)加諸多限制呢?
此外,NIST如今還建議取消定期口令重置,并建議公司僅在有證據(jù)表明口令被泄的情況下才要求更改口令。
?憑證篩選解決方案的作用
那么,公司如何監(jiān)測口令被盜跡象?可以采用NIST的另一項建議:企業(yè)對照包含常用被盜憑證的黑名單持續(xù)篩選口令。
可能聽起來夠簡單,但當(dāng)今嚴(yán)峻的威脅形勢下,選擇合適的被盜憑證篩選解決方案可謂十分重要。
?動態(tài)解決方案必不可少
網(wǎng)上有很多靜態(tài)黑名單可用,有些公司甚至編制了自己的靜態(tài)黑名單。但如今這種隨時都有數(shù)據(jù)泄露事件發(fā)生的情況下,新鮮被盜憑證不斷涌向暗網(wǎng),可供黑客持續(xù)用于發(fā)起攻擊。現(xiàn)有黑名單或僅每年定期更新的黑名單是應(yīng)付不了這種高風(fēng)險環(huán)境的。
Enzoic的動態(tài)解決方案對照包含數(shù)十億被盜口令的專有數(shù)據(jù)庫篩選憑證。數(shù)據(jù)庫中的被盜口令要么出自數(shù)據(jù)泄露事件,要么來自破解字典。由于該數(shù)據(jù)庫每天自動更新多次,在自身口令安全是否緊跟最新數(shù)據(jù)泄露情報方面,公司可以放心,無需投入額外的IT工作。
現(xiàn)代口令安全方法的重要組成部分還包括在口令創(chuàng)建時篩選憑證,以及在創(chuàng)建后持續(xù)監(jiān)測其完整性。如果之前安全的口令后來被泄露,公司可以自動執(zhí)行適當(dāng)?shù)牟僮鳎纾谙麓蔚卿洉r強(qiáng)制重置口令,或者在IT展開調(diào)查前完全禁止訪問。
?前路漫漫
盡管NIST指南通常會為整個安全行業(yè)提供最佳實踐建議,但最終還是要靠安全主管來決定什么才是最適合公司獨特需求的,并相應(yīng)地調(diào)整公司策略。
取決于所處行業(yè)、公司規(guī)模和其他隱私,或許某些建議并不適合你的公司。
但是,每天接二連三的網(wǎng)絡(luò)攻擊沒有減弱的跡象,而且常因口令漏洞造成,我們很難想象會有哪個公司不會從憑證篩選提供的額外安全層中獲益。
