關於威脅者和密碼安全的3個誤區

密碼安全對一個組織來說是至關重要的。訪問憑證，包括密碼，是進入你的網路的門戶。然而，密碼仍然是一個安全熱點。員工通常是憑證失效的薄弱環節。但是，這可能是由於對威脅者如何實際獲取密碼資訊缺乏認識。一旦這些關於密碼的神話被質疑，企業就可以改進圍繞密碼衛生的安全意識培訓。

密碼安全誤區一：永遠不要寫下你的密碼

事實：幾十年來，圍繞密碼安全最常見的建議是永遠不要寫下密碼。雖然你不想把密碼貼在電腦螢幕上，然後在社交媒體上分享照片，但寫下密碼並將其儲存在一個安全的地方是可以的。威脅者使用更復雜的方法，如鍵盤記錄或強行密碼攻擊。要記住的是，大多數網路犯罪分子希望儘可能容易地訪問更多的系統。對他們來說，在地方層面上一次一個密碼並不重要。

誤區二：使用簡訊作為多因素認證(MFA)的安全是最好的

事實：對大多數人來說，使用簡訊作為MFA當然是最簡單的，但它並不是確保密碼安全的最佳方式。一個新的攻擊媒介是你的手機號碼，威脅者透過SIM卡交換竊取你的手機號碼。

一個想要進行SIM卡交換的攻擊者會聯絡你的手機供應商，並假裝是你。然後，你的號碼被連結到壞人使用的SIM卡上。然後，他們將可以訪問以文字形式傳送到你手機上的任何MFA，以及你手機上的任何個人身份資訊。其他MFA選項，如生物識別或認證器是一個更好的選擇。

誤區三：我不需要密碼安全提示;我的密碼是獨一無二的，很安全的。

事實：由於有數十億的密碼，任何密碼都不可能是真正的唯一。大多數使用者透過改變字母大小寫或新增一個符號來建立 "獨特 "的密碼，而且他們是在得知 "舊 "密碼被破解後才這樣做的。威脅者使用密碼噴灑等技術，嘗試數以百萬計的普通密碼，以獲得進入網路的機會。雖然你的密碼可能確實是獨一無二的，難以破解，但只需要一個壞的密碼就可以獲得整個系統的訪問權。

使用者對威脅者是如何獲得密碼的瞭解越多，應該對提高密碼安全有很大的幫助。