譯者|布加迪

　　審校|孫淑娟

　　密碼是用于確保安全訪問系統(tǒng)的最基本、最常用的身份驗證方法。但是為眾多平臺使用和維護安全密碼的過程可能相當乏味。據(jù)Verizon發(fā)布的《2020年數(shù)據(jù)泄露調(diào)查報告》顯示，薄弱、重復(fù)使用的密碼導(dǎo)致了81%的數(shù)據(jù)泄露事件。除此之外，還有更多與密碼有關(guān)的漏洞和風險，如今密碼成了一種越來越不合適的身份驗證方案。
　　一、密碼的三大問題

　　人類行為和密碼——許多人圖方便而不是圖安全。使用簡單、易記的密碼，或者在所有不同的平臺上使用同一個密碼是很常見的做法。此外，共享密碼和使用不安全的方法存儲密碼是導(dǎo)致大多數(shù)密碼攻擊的主要原因。做好適當安全的密碼保護既是您個人的責任，也是貴組織的責任。

　　復(fù)雜的管理——許多組織設(shè)置的密碼策略要求員工經(jīng)常更改密碼、記住多個復(fù)雜的密碼，并在忘記密碼時重新設(shè)置密碼，這一切花費大量的時間和支持資源。對于員工來說，在處理密碼時，其中許多程序效率低下、不方便且不現(xiàn)實。這也給IT部門帶來了解決密碼相關(guān)問題方面的巨大負擔。同樣，個人也為流行的網(wǎng)站和應(yīng)用程序在密碼方面的諸多要求而苦惱。

　　越來越多的密碼泄露——據(jù)安全網(wǎng)站HackerNoon報道，1400萬個密碼中80%以上可以在短短20小時內(nèi)被破解。如今攻擊者擁有強大的工具和程序，可以專門破解密碼。然后，所有泄露的密碼都被發(fā)布在暗網(wǎng)上，用于撞庫和密碼噴灑等攻擊。

　　二、密碼攻擊類型

　　密碼攻擊包括通過各種技術(shù)和攻擊工具利用系統(tǒng)授權(quán)漏洞。威脅分子使用強大的攻擊實現(xiàn)自動化，主要在短時間內(nèi)大規(guī)模攻擊特權(quán)帳戶。作為一名安全專業(yè)人員，有必要了解一些最流行的攻擊類型及其防御方法：

　　1、社會工程和人類發(fā)起的攻擊

　　網(wǎng)絡(luò)釣魚攻擊——這是最常見的社會工程密碼攻擊。它們使用各種方法引誘用戶點擊惡意鏈接。避免網(wǎng)絡(luò)釣魚攻擊的一些最佳方法包括尋找可疑的電子郵件標題、主題、附件和鏈接。拼寫錯誤、域名拼寫混亂、偽造標志以及寫得不好的電子郵件也表明來源可疑。

　　竊聽和背后偷窺——竊聽是指通過語音或數(shù)字手段泄露密碼。您是否無意中偷聽到有人在打電話時背誦機密信息？犯罪分子會利用這種粗心的行為，收集盡可能多的信息。遵循適當?shù)陌踩龇ㄒ约傲己玫碾娫挾Y儀，可以防止您成為竊聽的受害者。

　　背后偷窺指攻擊者通過觀察一個人在鍵盤上輸入密碼或PIN碼來獲取憑據(jù)。在偷手機之前，手機竊賊可能偷看您輸入或者刷屏幕鎖碼，這讓您的數(shù)據(jù)處于危險之中。對周圍的人保持警惕，解鎖設(shè)備時擋住屏幕可以保護您的信息。

　　2、猜測密碼的攻擊

　　字典攻擊——使用預(yù)定義的單詞列表，單詞來自以前泄密事件中的密碼。字典攻擊中使用的攻擊工具可以為密碼添加更多的后綴和前綴，猜測攻擊目標的特征，進一步增加了破解密碼的機會。

　　蠻力攻擊——一種嘗試所有可能的密碼組合的試錯方法。抵御蠻力破解的最好方法是使用長密碼，而不是標準密碼。

　　密碼噴灑攻擊——威脅分子嘗試使用同一個密碼訪問多個帳戶，然后再嘗試另一個密碼。這種攻擊不會引起任何懷疑，因為威脅分子將攻擊分散在多個帳戶當中，而不是針對單個帳戶進行多次攻擊。這種攻擊在管理員未能更改默認密碼的網(wǎng)站和平臺上最為成功。

　　三、如何防止密碼攻擊？

　　組織可以為密碼管理設(shè)置強大的安全協(xié)議和機制，以應(yīng)對現(xiàn)代威脅和攻擊。個人也可以養(yǎng)成良好的密碼保護習慣。據(jù)NIST指南顯示，建議使用長度為8個至64個字符的密碼和長密碼短語。密碼短語可以阻止蠻力攻擊，它們并不與密碼字典中的條目匹配，也不包含個人身份信息。使用密碼管理軟件以避免重復(fù)使用密碼，只有在密碼泄露或遺忘時才重置密碼。

　　啟用多因素身份驗證（MFA）是對帳戶的最佳保護。使用密碼作為唯一的身份驗證機制會帶來巨大的安全風險。一次性密碼（OTP）、硬件令牌和身份驗證應(yīng)用程序?qū)⑻岣吣膫€人安全性。

　　四、密碼的未來

　　由于基于密碼的攻擊越來越多，未來很可能會使用無密碼身份驗證。無密碼身份驗證本質(zhì)上更安全，因為沒有傳統(tǒng)意義上的密碼被泄露。最常見的無密碼身份驗證方法是生物特征識別、OTP碼、推送通知和神奇鏈接。神奇鏈接是一種方法，它不向用戶請求密碼，而是創(chuàng)建支持登錄的唯一鏈接，并通過電子郵件發(fā)送。

　　五、結(jié)論

　　密碼已經(jīng)成為一種過時的身份驗證方法，容易受到許多威脅和攻擊。僅使用基于密碼的身份驗證方法現(xiàn)在被認為不太安全，因為存在無數(shù)可用的密碼攻擊。雖然組織有特殊的工具來執(zhí)行良好的身份驗證策略，但個人也應(yīng)該提高帳戶安全性。采用MFA和基于無密碼的身份驗證方法是一種簡單又免費的方法，可以立即保護您的帳戶。

　　原文鏈接：https://www.tripwire.com/state-of-security/are-passwords-really-safe-we-think