比尔·盖茨在2004年的RSA安全会议上预言了密码的消亡。从那以后，成千上万的人开始扎堆。尽管所有这些关于密码即将消失的说法，网络安全现状，而不是被扔进过时的IT实践的垃圾桶，但在2020年的今天，密码的相关性似乎并不比2004年逊色。虽然密码在任何身份验证过程中都是重要的第一步，但现在的情况是，密码作为唯一的安全机制使用的可能性降低了。今年7月，互联网安全中心（CIS）发布了一份密码政策指南。本文档包含了大量建议，并以可靠的研究为基础，介绍了如何在您的环境中使用密码。CIS文档中最有趣的部分之一是"用户密码有多重要"一节？在本博客中，我们将评估常见的密码攻击向量，计算一些密码破解概率，并从CIS和NIST那里解压密码安全的关键指导，并讨论在保护人与机器密码方面的不同含义。关于密码攻击你应该知道些什么在评估各种密码漏洞的数据时，很明显，绝大多数都涉及黑客获取整个密码。一旦有人获得了你的全部密码，密码的复杂性就无关紧要了。然而，密码复杂性只对猜测攻击很重要。猜测攻击涉及攻击者通过以下两种方式之一来破解密码的可能变体：在线-直接使用他们试图入侵的系统，而不仅仅是在互联网上离线-通常使用用户帐户和密码的数据库。利用专门处理大量复杂数学的工具（如图形处理器），猜测攻击在破解密码方面越来越有效。用于挖掘新加密货币的钻机也可以作为出色的密码破解工具。CIS表明，这些加密货币/密码破解装置可以轻松实现每秒1000亿次的测试。独联体还指出，资金充足的攻击者，也许是民族国家，可能达到这个比率的100或1000倍。对于任何攻击者来说，这似乎是一个可怕的能力，但请记住，每秒执行1000亿次测试仍然意味着攻击者需要大约20年的时间来测试10个字符密码中的所有可能的组合。这可能是一个密码的平均值，但这仅仅是一个10年的密码！密码策略是如何被意外的后果破坏的多年来，我们一直要求用户（员工、供应商、客户等）选择复杂的密码。我们经常要求他们在密码中输入大写字母、符号和数字。您认为这些密码创建说明有多少次在开头使用大写字母，在末尾使用符号和数字？毕竟，我们是和人一起工作的。在试图让自己记住密码的过程中，防御ddos云盘，人类陷入了可预测的习惯，这些习惯转化为更容易猜测的密码模式。NIST建议用户随机选择4-5个单词，然后创建一个简单的故事来帮助记忆这些单词。密码短语是另一种方法，但往往会导致首字母大写和结尾的符号，而这些字符是必需的。虽然这两种方法确实会导致更长的密码，但它们往往比相似长度的随机密码复杂得多。比较基于单词和基于字符的密码在密码中可以使用大约96个容易键入的字符。有些系统不允许在密码中使用所有这些字符，但在我们的示例中，我们将使用96。一个由5个不带空格的随机单词组成的密码可能会产生大约20-25个字符。大多数成年人在他们的母语中知道20000到35000个单词，但是每天只使用7000个左右。我们可以很容易地计算出可能的密码的数目，d-link的ddos防御，通过计算可能的字数提升到我们的密码字数的幂次。在本例中，这是7000^5，等于168070000000000000000000个可检查的组合！如前所述，5个单词将产生大约20-25个字符（基于英语的平均单词长度）-让我们使用20个字符作为随机密码。我们使用相同的公式，可能字符数与密码中字符数的幂次幂：96^20，或44200243387944077316988270789431736139776个可能的组合！您可以立即看到，可能的随机字符密码比随机单词大得多，密码短语也是如此。对于那些感兴趣的人来说，使用随机字符的组合大约是262.2万亿倍（262987108870951229665）。即使使用1000个加密采矿设备，也可能需要1亿倍宇宙年龄才能破解。密码短语和NIST的指导将带来更好的密码，而不仅仅是让人们放松对长度和复杂性的要求。这就是密码管理器变得如此有价值的地方。密码管理工具可以生成随机密码，也不需要用户记住它们。密码不是安全身份验证的最佳答案。大多数落入坏人之手的密码不会通过暴力攻击被发现。相反，密码已经为人所知，因为它们在许多系统中被重用，在其他地方也被泄露了。谷歌去年发布的一项调查发现，65%的人在多个账户中使用相同的密码，其中13%的人在所有账户中使用相同的密码！通常，密码重复使用会遍历工作帐户和个人帐户。典型的用户可能在他们的个人设备上从事更危险的活动，同时也缺乏企业级的端点安全和其他保护。如果他们跨个人帐户和工作帐户使用密码，他们可能会为攻击者提供进入企业的简单途径。MFA如何促进安全认证为了提高密码安全性，我们需要从多因素身份验证（multi-factor authentication，MFA）开始，对其他类型的身份验证进行分层。MFA涉及到使用三种类型的东西来证明自己是谁：一些他们知道的事情他们有的东西它们是什么东西通常有：密码/密码手机、硬件令牌、智能卡生物特征-虹膜、指纹、面部当我们把这些"东西"加在一起时，黑客就很难进入系统。知道某人的密码，甚至设法猜出它（假设系统控制阻止你一个接一个地尝试密码），并不能让你得到他们的"他们有的东西"或"他们是什么东西"。这些"东西"背后的系统都有缺陷，但当这些"东西"组合在一起时，它们实际上是不可破解的。这就是MFA给等式带来的认证安全乘数的好处。密码最佳实践《CIS密码策略指南》在解释MFA并强调其对组织的好处方面做得很好。CIS甚至建议，当你有MFA时，传奇服务器cc防御，8个字符的密码就足够了。因此，虽然密码没有死，但它并不是以前唯一的身份验证机制。虽然8个字符的密码和MFA组合起来可能足以满足个人帐户的需要，但当计算机向其他计算机进行身份验证时，或者在个人之间共享帐户时，MFA使生活变得复杂起来。对于共享帐户，身份验证的任何其他因素都必须是：A、 跨多人复制（即，同时为每个人生成相同代码的令牌），或B、 允许多个生物特征输入的系统（每个共享帐户的人至少有一个输入）这是一个很大的管理。这也相当于降低了每一个相关因素的安全性——只需要X个代币中的1个就可以被丢弃。这可能不会像丢失单个令牌一样迅速引起警报，或者当有更多的人脸、虹膜或指纹需要匹配时，生物特征被接受的可能性更大。在涉及机器的情况下，我们可能只有密码作为唯一的认证依据。同样，ddos服务器怎么防御，我将把它留给读者去研究为什么其他因素不适用。在这些涉及共享帐户或计算机的场景中，我们希望拥有复杂的密码（因为黑客更可能希望对这些帐户进行暴力破解）。为了增加安全性，我们还希望避免向最终用户透露这些密码。特权密码管理解决方案，如BeyondTrust的密码安全解决方案，将个人帐户安全的最佳做法与对高度特权帐户的安全访问结合起来，以确保共享帐户访问是安全的。密码安全还提供了一个restfulapi，允许应用程序和系统在需要时检索所需的复杂密码，从而无需在应用程序或系统中存储密码。密码保险箱还可以在每次使用帐户时和/或定期更改密码（称为密码轮换），而不管帐户是否已被使用。频繁的轮换有助于减轻或完全防止密码重复使用的威胁。当您不需要键入密码时，没有理由使用小于最大长度和最大复杂度的密码，在Active Directory中，密码长度为256个字符，或者