
比尔·盖茨在2004年的RSA安全会议上预言了密码的消亡。从那以后,成千上万的人开始扎堆。尽管所有这些关于密码即将消失的说法,网络安全现状,而不是被扔进过时的IT实践的垃圾桶,但在2020年的今天,密码的相关性似乎并不比2004年逊色。虽然密码在任何身份验证过程中都是重要的第一步,但现在的情况是,密码作为唯一的安全机制使用的可能性降低了。今年7月,互联网安全中心(CIS)发布了一份密码政策指南。本文档包含了大量建议,并以可靠的研究为基础,介绍了如何在您的环境中使用密码。CIS文档中最有趣的部分之一是"用户密码有多重要"一节?在本博客中,我们将评估常见的密码
攻击向量,计算一些密码破解概率,并从CIS和NIST那里解压密码安全的关键指导,并讨论在保护人与机器密码方面的不同含义。关于密码攻击你应该知道些什么在评估各种密码漏洞的数据时,很明显,绝大多数都涉及黑客获取整个密码。一旦有人获得了你的全部密码,密码的复杂性就无关紧要了。然而,密码复杂性只对猜测攻击很重要。猜测攻击涉及攻击者通过以下两种方式之一来破解密码的可能变体:在线-直接使用他们试图入侵的
系统,而不仅仅是在互联网上离线-通常使用用户帐户和密码的数据库。利用专门处理大量复杂数学的工具(如图形处理器),猜测攻击在破解密码方面越来越有效。用于挖掘新加密货币的钻机也可以作为出色的密码破解工具。CIS表明,这些加密货币/密码破解装置可以轻松实现每秒1000亿次的
测试。独联体还指出,资金充足的攻击者,也许是民族国家,可能达到这个比率的100或1000倍。对于任何攻击者来说,这似乎是一个可怕的能力,但请记住,每秒执行1000亿次测试仍然意味着攻击者需要大约20年的时间来测试10个字符密码中的所有可能的组合。这可能是一个密码的平均值,但这仅仅是一个10年的密码!密码策略是如何被意外的后果破坏的多年来,我们一直要求用户(员工、供应商、客户等)选择复杂的密码。我们经常要求他们在密码中输入大写字母、符号和数字。您认为这些密码创建说明有多少次在开头使用大写字母,在末尾使用符号和数字?毕竟,我们是和人一起工作的。在试图让自己记住密码的过程中,防御ddos云盘,人类陷入了可预测的习惯,这些习惯转化为更容易猜测的密码模式。NIST建议用户随机选择4-5个单词,然后创建一个简单的故事来帮助记忆这些单词。密码短语是另一种方法,但往往会导致首字母大写和结尾的符号,而这些字符是必需的。虽然这两种方法确实会导致更长的密码,但它们往往比相似长度的随机密码复杂得多。比较基于单词和基于字符的密码在密码中可以使用大约96个容易键入的字符。有些系统不允许在密码中使用所有这些字符,但在我们的示例中,我们将使用96。一个由5个不带空格的随机单词组成的密码可能会产生大约20-25个字符。大多数成年人在他们的母语中知道20000到35000个单词,但是每天只使用7000个左右。我们可以很容易地计算出可能的密码的数目,d-link的ddos防御,通过计算可能的字数提升到我们的密码字数的幂次。在本例中,这是7000^5,等于168070000000000000000000个可检查的组合!如前所述,5个单词将产生大约20-25个字符(基于英语的平均单词长度)-让我们使用20个字符作为随机密码。我们使用相同的公式,可能字符数与密码中字符数的幂次幂:96^20,或44200243387944077316988270789431736139776个可能的组合!您可以立即看到,可能的随机字符密码比随机单词大得多,密码短语也是如此。对于那些感兴趣的人来说,使用随机字符的组合大约是262.2万亿倍(262987108870951229665)。即使使用1000个加密采矿设备,也可能需要1亿倍宇宙年龄才能破解。密码短语和NIST的指导将带来更好的密码,而不仅仅是让人们放松对长度和复杂性的要求。这就是密码管理器变得如此有价值的地方。密码管理工具可以生成随机密码,也不需要用户记住它们。密码不是安全身份验证的最佳答案。大多数落入坏人之手的密码不会通过暴力攻击被发现。相反,密码已经为人所知,因为它们在许多系统中被重用,在其他地方也被泄露了。谷歌去年发布的一项调查发现,65%的人在多个账户中使用相同的密码,其中13%的人在所有账户中使用相同的密码!通常,密码重复使用会遍历工作帐户和个人帐户。典型的用户可能在他们的个人设备上从事更危险的活动,同时也缺乏企业级的端点安全和其他保护。如果他们跨个人帐户和工作帐户使用密码,他们可能会为攻击者提供进入企业的简单途径。MFA如何促进安全认证为了提高密码安全性,我们需要从多因素身份验证(multi-factor authentication,MFA)开始,对其他类型的身份验证进行分层。MFA涉及到使用三种类型的东西来证明自己是谁:一些他们知道的事情他们有的东西它们是什么东西通常有:密码/密码手机、硬件令牌、智能卡生物特征-虹膜、指纹、面部当我们把这些"东西"加在一起时,黑客就很难进入系统。知道某人的密码,甚至设法猜出它(假设系统控制阻止你一个接一个地尝试密码),并不能让你得到他们的"他们有的东西"或"他们是什么东西"。这些"东西"背后的系统都有缺陷,但当这些"东西"组合在一起时,它们实际上是不可破解的。这就是MFA给等式带来的认证安全乘数的好处。密码最佳实践《CIS密码策略指南》在解释MFA并强调其对组织的好处方面做得很好。CIS甚至建议,当你有MFA时,传奇服务器cc防御,8个字符的密码就足够了。因此,虽然密码没有死,但它并不是以前唯一的身份验证机制。虽然8个字符的密码和MFA组合起来可能足以满足个人帐户的需要,但当计算机向其他计算机进行身份验证时,或者在个人之间共享帐户时,MFA使生活变得复杂起来。对于共享帐户,身份验证的任何其他因素都必须是:A、 跨多人复制(即,同时为每个人生成相同代码的令牌),或B、 允许多个生物特征输入的系统(每个共享帐户的人至少有一个输入)这是一个很大的管理。这也相当于降低了每一个相关因素的安全性——只需要X个代币中的1个就可以被丢弃。这可能不会像丢失单个令牌一样迅速引起警报,或者当有更多的人脸、虹膜或指纹需要匹配时,生物特征被接受的可能性更大。在涉及机器的情况下,我们可能只有密码作为唯一的认证依据。同样,ddos服务器怎么防御,我将把它留给读者去研究为什么其他因素不适用。在这些涉及共享帐户或计算机的场景中,我们希望拥有复杂的密码(因为黑客更可能希望对这些帐户进行暴力破解)。为了增加安全性,我们还希望避免向最终用户透露这些密码。特权密码管理解决方案,如BeyondTrust的密码安全解决方案,将个人帐户安全的最佳做法与对高度特权帐户的安全访问结合起来,以确保共享帐户访问是安全的。密码安全还提供了一个restfulapi,允许应用程序和系统在需要时检索所需的复杂密码,从而无需在应用程序或系统中存储密码。密码保险箱还可以在每次使用帐户时和/或定期更改密码(称为密码轮换),而不管帐户是否已被使用。频繁的轮换有助于减轻或完全防止密码重复使用的威胁。当您不需要键入密码时,没有理由使用小于最大长度和最大复杂度的密码,在Active Directory中,密码长度为256个字符,或者