用户账户安全保护方法

地球胖头鱼 2020-11-05
Web安全 发布于 2020-11-05 16:02:42 阅读 51 评论 0

前言

过去和现在都不断在上演的信息泄漏事件,已是一个老生常谈的话题,可以预见在将来的一段时间内,依旧会是让人们头疼的事情。

**现在大家对数据安全的意识以及提高了,但是往往只提高了意识在一些实际的问题上我们并没有提高实际的操作,信息泄露这个问题已经不单单影响一个人。信息泄露现在已经影响到国家安全,导致信息泄露的根本就是“弱口令”。那很多人都听说过弱口令,整天挂在嘴边。那弱口令到底是什么呢?又该如何防护呢,下文就带大家了解一下。

什么是弱口令

如果你的密码设置得很好“猜”,我们就可以说这个密码的强度很“弱”,就是一个“弱口令”。

弱口令具体长什么“样子”

123456常年霸占弱密码榜首

根据splashdata的统计,2019 年的十大弱密码仍是那几个熟悉的面孔,和 2018 年的榜单做个比较,上榜的密码大同小异,虽然“sunshine”跌出 Top 10 榜单,但也仍位居第30名,新进榜的还有更弱的“123123”, “123456”依然稳稳拿下弱密码冠军的宝座。

这些高频出现的口令,往往就是黑客最偏爱“猜测”的口令,也就是典型的“弱口令”,弱口令还包含空口令和通用口令和一些用户名相关的口令

空口令和通用口令

“空口令”很好理解,就是完全不设置口令。最常见的是在开发测试环境,搭建的数据库(比如MySQL、memcache、redis、mongoDB等等),为了方便,完全不设置任何密码,登录的时候不需要停下来输入密码的感觉真是太惬意了,不过黑客也不需要输入密码就能偷取你的隐私,会更惬意呢。

另一种情况,管理人员可能已经意识到密码强度太弱不好了,于是设置了一个字母+数字+特殊字符的口令,比如“complexPWD@1984++这样的口令,看上去不那么容易“猜”得出来了,可惜,整个团队的人都在用,时间长了,团队人员变动,或者某个成员个人电脑、服务器被黑,都会导致团队的通用口令泄漏。因此,使用静态的通用口令依然要被视为“弱口令”。

和用户名相关的口令

有些人会把密码设置得跟用户名有一定的关系,比如:用户名是小明,密码是小明的生日、手机号、纪念日、父母的生日;也有人用自己的车牌号码,家庭住址门牌号码,这些常见的“密码套路”,极容易被破解。因为本质上还是和你的一些基本信息有关联,别以为黑客就不知道了。黑客可能拥有某些网站的数据库,可以直接查询你的这些信息,就算不通过数据库查询,枚举所有的生日、手机号(尤其针对某些地区的号码段范围)其实也花不了多少时间。

内网弱口令

有些人具备一些基本的安全常识,不会在公开场合设置“弱口令”,但是在公司内部,尤其是测试环境,又很容易松懈,认为内网是 “可信”的。

大公司内网渗透的案例,业界每年都会发生十多次或者更多,所以信任内网并不是一个正确的安全态度。

还有很多同事说,我的“测试”机器,上面没有什么“重要”数据,所以弱口令就弱吧,没什么风险的。

这又一次too young too simple了,黑客通过弱口令拿到的,不仅仅是你机器上的“测试数据”,而是等价于你服务器享有的一切受信权限:

  • 你这台服务器可以访问其它的敏感数据,现在黑客也拥有了同等的权利
  • 你这个数据库可以读写服务器上的其它敏感文件

尤其是疫情期间大多数企业都采用远程办公,企业安全的脆弱性问题无疑被放大了,如果说身份与访问管理是数据安全的“重灾区”,那么“弱密码”则无疑是“震中”。

倘若处理不慎,很可能因为自己是弱密码被轻易破解而导致黑客横向攻击了单位内网,拿走核心敏感文件而带来巨大的名誉和经济损失。

多平台使用同一密码

定期更换密码的被调查者仅占18.36%,而遇到问题才更换密码的被调查者有64.59%,有17.05%的被调查者从来不更换密码。

调查显示,大多数人为了记忆方便,公众多账号使用同一密码的情况高达75.93%,特别是青少年多账号使用同一密码的比例高达82.39%。多账户使用同一密码更容易遭到黑客攻击,尤其是会面临被“撞库”的重大风险。所谓“撞库”,即黑客攻破某一网站后,会用获取的账号密码去测试其他平台,那些多个平台用一套账号密码的用户就会中招,甚至可能清空你的银行卡。

我们的密码该由谁来“守护”

说了这么多大家不难发现我们现在对密码的重视程度并不高,就不说普通用户了,我这个搞了多年网络安全的人密码都一直用一个一样的。这种情况下我们很难要求一个人隔一段时间修改一次密码,那我们的密码该由谁来“守护”

设定多套密码

安全专家建议,可以为自己设定多套密码,东南大学网络空间安全学院副教授宋宇波说:“重要系统(比如网银等和隐私密切相关的)和非重要系统(一些论坛、查阅为主的网页)的密码要分开,工作、生活、和理财账户使用不一样的密码,这样能减少风险。”

不要到处乱贴自己的密码

工作中见过不少小伙伴,由于密码难记,于是写在便笺上,贴在座位或者显示器附近。方便了自己,也往往方便了陌生人。《入侵的艺术》里,凯文.米特尼克就这样获取过某银行的密码然后入侵了进去。

不要在公共场合大声地说出密码

有时候在电梯里、公交车上,听到敬业的同事处理工作事宜,会在电话里大声的透露自己的密码。在电话那头的同事获得密码的同时,如果附近有居心叵测的人,也同样会获得这个密码。老话说得好,说者无心,听者有意。

不要明文存储自己的密码

这个和把密码写在便签贴在显示器上是一样的,这个就是会有人把自己所有的密码甚至是公司的管理账户密码都记录到桌面的一个文本文档里面。我们个人计算机的防护级别并不是很高,如果黑客攻进你的电脑拿到那个文本文档这就等于间接拿到你们公司的服务器了。所以说这个危险系数一点都不低。

采取统一认证

所谓统一认证,就是将需要登录的若干个系统,整合在一个地方。 这个时候,你就不再需要记忆很多站点的密码,集中记住一个就够了。

重要系统不要只用密码认证

比如大家在登录网上银行的时候,可能还需要结合短信验证码、动态口令令牌、手机APP扫描等多种手段。

即使密码真的泄漏了,如果重要的系统必须同时满足2,3种验证手段才允许登录,那么这个系统的安全性自然会更高一点。

使用复杂的口令

复杂口令,首先密码的长度要长,至少8位以上。比如你的密码是6位纯数字的782341 ,黑客写个程序从 000000 逐个猜到 999999 ,最多猜100w次,就能把你的密码“猜”出来,而你的密码是8位,它就要猜1亿次。

其次,密码不要纯粹的使用数字或字母,而是要数字、字母、特殊字符夹杂着。这样,如果你的密码是8位,每一位可以使用26个大写字母、26个小写字母、10个数字、若干个特殊符号,那么黑客就要猜测至少 N的8次方,N大于72,这可是一个更大的数字,很多黑客没有耐心这么猜下去的。

使用替代语

如下图,这个密码虽然不复杂但是并不是所有人都这么无聊的去猜解这种密码。

这种类型的密码有很多,但是大家千万要注意也不要都这样弄,万一有高手摸清楚你的规律给你一锅端了,你可别来找我。

使用密码生成器工具

如果你不愿自己思索密码,可以搜索“密码生成器”:能随机生成一定程度的复杂密码

.使用密码管理器工具

有时我们的密码是设置的挺复杂,可是一转头自己也忘了密码是什么,这种时候,可以借助一些专业的密码管理软件,把各个地方的密码管理起来,下一次想不起密码的时候不用抓耳挠腮,只要复制粘贴就可以了

定期更换密码

这是所有手段里面最难实施的一条了,上面哪些要么借助工具,要么来手段,只有这个要靠我们强大的自律和记忆力超好的大脑来实施。虽然这个实施起来困难但是这个是安全性最高的。

总结

人在江湖飘,哪能不挨“盗”?或许没有什么能保证绝对的安全,使用指纹解锁、面部解锁也不例外,但正因为如此,我们平时才要多注意密码安全,多学习保护措施,并且及时去实践操作,这样才能在面对这些可能发生的意外时,更加的从容淡定,更好的解决问题。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!
地球胖头鱼
未填写
  • 作者发布文章112
  • 作者收获粉丝2
  • 作者收到点赞0
  • 所有文章被收藏了0
  • 博客总访问量排行第3
  • 博客总访问量1.1 万(每日更新)
查看所有博文