據Verizon 釋出的《2020 年資料洩露調查報告》顯示，80% 的資料洩露都是駭客利用被盜密碼或弱密碼導致的。密碼安全對於企業，組織和個人使用者來說都是非常重要的。但是，很多人並不重視密碼安全，甚至不知道什麼是強密碼。那麼，什麼是密碼安全？強密碼和弱密碼是什麼樣的？如果您的組織沒有高安全性密碼，會有哪些風險? 除了建立強密碼外，還有其他方式解決密碼安全問題嗎?

接下來， 銳成資訊將一一解答，並在最後給出一些快速提高密碼安全的小竅門。

什麼是密碼安全？

密碼安全是使密碼和身份驗證方法更安全的策略、流程和技術的統稱，要讓密碼安全關鍵是要知道如何保護密碼。密碼本身是一種儲存秘密的身份驗證器。也就是說只有您知道這個密碼，並用此密碼向第三方驗證自己身份。其他身份驗證器還包括加密裝置、一次性密碼或PIN ，以及金鑰訪問卡。

什麼樣的密碼才算是高安全性的呢？參考下方要求檢測一下吧！

防止未經授權的使用者訪問受保護的系統、資訊和資料。
密碼是否複雜的讓別人難以猜到或破解。
於您而言，密碼是否容易記住。
是否將密碼與他人分享。
是否以安全的方式儲存，防止密碼洩露。

雖然密碼直到20 世紀60 年代才被引入，但對於組織和使用者來說，密碼已經成為保障網路與資訊保安最有效、最經濟的關鍵核心技術。但密碼安全對賬戶而言不僅僅是密碼本身，它還涉及保護這些密碼及其提供的訪問許可權的政策、程式、技術和培訓。例如:

建立和執行計算機使用策略和/ 或BYOD 策略，明確指出哪些賬戶可以在哪些裝置上訪問，要求使用VPN 遠端工作或連線到公共Wi-Fi 等。
建立並執行密碼策略，以解決特定的密碼建立、儲存和維護需求。
為員工提供培訓和指導，以幫助他們瞭解建立安全密碼和遵循密碼管理最佳方法的重要性。

為什麼密碼安全很重要？

據IDC 的一份報告顯示，在2019 年的IT 和非IT 調查受訪者中，有62% 的人表示，人為錯誤是企業業務面臨的主要網路威脅。這種人為錯誤主要是源於企業的普通員工建立簡單密碼和共享密碼導致的，而不是那些高管或擁有特殊訪問許可權的員工。

關於密碼安全的重要性，還有哪些因素需要考慮？

法規合規性要求

遵從法規的合規性是所有組織都應該關注的一個方面。有多種法規和監管機構要求組織滿足身份認證和資料保護的特定標準，也有其他組織制定標準並提供指導使公司和其他組織可以嚴格遵從這些標準。例如：

國家標準技術研究院 (NIST) 是一個全球性的非監管機構，主要負責監管美國聯邦政府附屬機構和組織。多年來，NIST 一直致力於線上身份驗證和密碼安全研究，並制定了一套加強密碼安全性的準則，它不僅僅是FBI ，USDA 和NSA 等政府機構必須遵守的準則，也成為了很多企業遵循的密碼指南。

支付卡行業資料安全標準(PCI DSS) 是全球最嚴格、級別最高的金融機構安全認證標準， 適用於所有涉及支付卡處理的實體，包括商戶、處理機構、購買者、發行商和服務提供商及儲存、處理或傳輸持卡人資料的所有其他實體。資訊保安標準中強調身份認證，並要求進行金鑰管理，在資料傳輸過程中使用強效加密法和安全協議來保護資料。凡是涉及處理支付卡相關資料的組織都必須要遵守PCI DSS 要求，如不遵從，那麼該組織將會面臨鉅額罰款。

歐盟的通用資料保護條例（GDRP ）雖沒有特別提及密碼，但是在第28 條中指出，資料處理者必須提供相應的技術和措施以滿足本條例要求，確保資料主體權利得以安全保護。第25 條規定，決定處理哪些資料以及如何處理資料的控制者也必須執行此類保護措施，以保護資料主體的權利。這就意味著凡是參與涉及個人資料處理的組織都必須採取安全措施來保護他們處理的資料。目前，使用強而獨特的密碼策略是安全措施中的最佳做法。

基於組織風險考慮

我們前面提到過，不安全的密碼和不良的密碼管理習慣會給組織增加釣魚攻擊和資料洩露的風險。看看下面的幾個案例就明白了。

美國聯邦調查局網路犯罪投訴中心(IC3) 在2019 年的報告中稱，商業電子郵件洩露和電子郵件賬戶洩露（BEC/EAC ）犯罪造成了超過17 億美元的損失。為了避免類似的情況發生， 銳成資訊強烈建議您採用郵件安全解決方案 ，防止郵件資訊洩露。

2020 年7 月，Twitter 頂級認證使用者賬戶的洩露與憑證洩露有關。一名Twitter 員工成為了這場社交工程攻擊的目標，攻擊者使用該員工的憑證訪問Twitter 內部系統，攻擊和破壞130 個使用者賬戶( 包括伊隆·馬斯克、巴拉克·奧巴馬、喬·拜登和比爾·蓋茨等名人賬戶) ，用比特幣的虛假承諾欺騙使用者。此次詐騙給受害者造成價值11.8 萬美元的比特幣損失。

弱密碼樣例

不安全的密碼各式各樣，但是很多都具備以下特點：包含常用的單詞，打字習慣，於自己而言非常重要的人的名字( 如孩子或父母的名字) ，有特殊意義的日期( 如生日或紀念日) 等等。

那麼，最常用的弱密碼是什麼樣的呢? 根據CyberNews 的報導，以下是全球最常用的10 個密碼：

123456
123456789
qwerty
password
12345
qwerty123
1q2w3e
12345678
111111
1234567890

如何確保密碼安全？

高安全性的密碼需要從哪些方面著手呢？

首先，設定的密碼足夠長且複雜，還要易於記住。 一般要求至少有12 個字元，同時使用大寫字母和小寫字母，幷包含一些隨機數字和特殊符號。採用密碼短語可以幫助您記住密碼，也可以使用數字和符號代替字母使密碼變得足夠複雜，如“H0use ”代替“House ”，“G@m3r ”代替“Gamer ”。

其次，強制要求使用者為每個賬戶建立唯一的密碼。 如果使用者嘗試建立具有相同字母、數字、字元的新密碼，則阻止此憑證透過。另外，將密碼設定為密碼安全策略的一部分，即使用者必須為每個帳戶建立唯一的密碼，並且切勿與其他任何人共享密碼。

再者，選擇安全的密碼儲存方式保護密碼安全。 在任何情況下不要使用純文字格式儲存密碼，建議使用經過批准的密碼管理器以確保所有密碼的安全。更安全的做法是儲存加鹽的雜湊值，以防止暴力攻擊和彩虹表攻擊。

顯然，要確保高安全性密碼認證需要做很多工作。那是否有一種可以幫助使用者更容易確保憑證安全，也便於企業IT 團隊安全管理的方式嗎？研究表明， 透過簡單便利的無密碼身份認證的方法可以有效地協呼叫戶和業務需求。

無密碼身份認證

與傳統的基於密碼的身份驗證流程相比， 無密碼身份認證（ Passwordless Authentication ）更方便，更安全。當前，有兩種方法可以做無密碼身份認證。一種選擇是使用多因素身份認證(MFA) ，另一種是基於數字證書的身份認證或基於PKI 的身份認證。

多因素身份認證（MFA ）

多因素身份認證（MFA ）是一種更安全，多層次的防禦系統，這種機制需要您提供兩種或多種型別的獨立憑證：

您知道的東西（如密碼或PIN ）
您擁有的東西（如手機APP ，安全性令牌或者智慧卡）
您是誰（生物識別驗證，如指紋識別，面部識別，視網膜掃描，語音識別）。

基於數字證書的身份認證

基於PKI 的認證方法比傳統的MFA 方法更安全。PKI 作為網路安全的基礎設施，是集加密技術、系統、流程和策略的統稱。基於證書的裝置身份認證將PKI 數字證書與信任模型(TPM) 結合使用，即在裝置上安裝一個數字證書，該證書將組織或個人的身份與該裝置聯絡在一起，從而提供了客戶端身份驗證，讓您的裝置向伺服器證實其身份，而不必輸入密碼。

基於PKI 的無密碼身份認證的優點如下：

使用者不再需要建立或記住複雜的密碼，因為數字證書無需密碼來驗證使用者身份。
勿需擔心錯誤的密碼儲存方法帶來的風險。
不會成為網路釣魚和其他憑證攻擊的犧牲品。

提高密碼安全性的6 個小竅門

綜上所述，基於密碼的身份驗證並不是一種萬能的方法。在這裡， 銳成資訊提供幾個小竅門讓您的密碼安全更有效。

不要與他人共享您的登入資訊。 即使您精心建立了一個強而複雜的密碼，也並不意味在與他人共享後還能確保您的登入憑證安全。
不要在多個帳戶中重複使用相同的密碼。 大多數使用者常犯的一個錯誤是在多個帳戶之間重複使用相同密碼。如果該密碼遭到洩露、釣魚攻擊或被盜，那意味著使用該密碼的其他帳戶都將有同樣的風險。
使用長的密碼短語代替複雜又難記的密碼。 長的密碼短語比複雜的密碼更容易讓使用者記住。對於不依賴密碼管理器的使用者來說，這樣的密碼更有效。
阻止使用者使用違規列表中的密碼。 請阻止使用者使用可在公共資料洩露列表中能查到的憑證密碼！
確保企業組織正確儲存密碼雜湊值。 請不要直接用明文格式儲存密碼，而應儲存密碼雜湊值，並使用雜湊加鹽法為密碼加密，這樣不僅使密碼可以抵抗暴力攻擊，而且可以防止彩虹表攻擊。
選擇基於數字證書的身份認證方式， 徹底擺脫繁瑣而又不安全的密碼。

本文轉自銳成資訊

密碼安全和無密碼身份認證那些事兒