不過,口令不會很快退出歷史舞臺,并不意味著企業現在就不需要現代化其口令安全方法。
?被盜憑證危機
正如微軟安全團隊指出的,“只需要一個被盜憑證,就能引發一場數據泄露”。再加上屢禁不止的口令重用問題,被盜口令可對企業安全造成重大而長期的影響。
事實上,弗吉尼亞理工大學的研究人員發現,口令泄露后,超過70%的用戶還會在其他賬戶上使用該被盜口令長達一年時間;40%的用戶會重用三年前就被泄的口令。
雖然被盜憑證問題對大多數IT主管而言不是什么新鮮事,但他們可能會很驚訝地發現:自己解決該問題的諸多嘗試常常會造成更多安全漏洞。
此類反而會削弱口令安全的傳統方法很多,舉例如下:
強制口令復雜性
定期重置口令
限制口令長度與字符使用
要求特殊字符
?現代口令安全方法
考慮到與這些傳統方法相關聯的漏洞,美國國家標準與技術研究院(NIST)修訂了其口令安全建議,鼓勵用戶采用更現代的口令安全最佳實踐。NIST更新其口令安全建議的根源在于其認識到,如果用戶被迫創建符合復雜性要求的口令,或者被迫定期重置口令,人為因素往往會導致出現安全漏洞。
例如,如果要求口令中包含特殊字符和數字,用戶可能會選擇“P@ssword1”這種最基本的形式,這種憑證明顯十分常見,很容易被黑客利用。可能對口令安全造成負面影響的另一種傳統方法,是禁止在口令中使用空格符或各種特殊字符的策略。畢竟,如果想讓用戶創建容易記憶的獨特強口令,又何必對其形態強加諸多限制呢?
此外,NIST如今還建議取消定期口令重置,并建議公司僅在有證據表明口令被泄的情況下才要求更改口令。
?憑證篩選解決方案的作用
那么,公司如何監測口令被盜跡象?可以采用NIST的另一項建議:企業對照包含常用被盜憑證的黑名單持續篩選口令。
可能聽起來夠簡單,但當今嚴峻的威脅形勢下,選擇合適的被盜憑證篩選解決方案可謂十分重要。
?動態解決方案必不可少
網上有很多靜態黑名單可用,有些公司甚至編制了自己的靜態黑名單。但如今這種隨時都有數據泄露事件發生的情況下,新鮮被盜憑證不斷涌向暗網,可供黑客持續用于發起攻擊。現有黑名單或僅每年定期更新的黑名單是應付不了這種高風險環境的。
Enzoic的動態解決方案對照包含數十億被盜口令的專有數據庫篩選憑證。數據庫中的被盜口令要么出自數據泄露事件,要么來自破解字典。由于該數據庫每天自動更新多次,在自身口令安全是否緊跟最新數據泄露情報方面,公司可以放心,無需投入額外的IT工作。
現代口令安全方法的重要組成部分還包括在口令創建時篩選憑證,以及在創建后持續監測其完整性。如果之前安全的口令后來被泄露,公司可以自動執行適當的操作,例如,在下次登錄時強制重置口令,或者在IT展開調查前完全禁止訪問。
?前路漫漫
盡管NIST指南通常會為整個安全行業提供最佳實踐建議,但最終還是要靠安全主管來決定什么才是最適合公司獨特需求的,并相應地調整公司策略。
取決于所處行業、公司規模和其他隱私,或許某些建議并不適合你的公司。
但是,每天接二連三的網絡攻擊沒有減弱的跡象,而且常因口令漏洞造成,我們很難想象會有哪個公司不會從憑證篩選提供的額外安全層中獲益。
