正文

2024 年已经到来:今年我们会找到正确的密码吗?

admin
admin V管理员 /0 评论 /121 阅读
0319
此篇文章发布距今已超过249天,您需要注意文章的内容或图片是否可用!

人类在科学技术方面取得了令人难以置信的进步,拓展了想象力并永远改变了社会。但是,一项看似平凡但至关重要的智慧仍然困扰着人类——正确的密码管理。

我们都看过有关下一次重大泄露的头条新闻,其中大部分 可归因于人际互动的根本原因,包括使用受损或被盗的访问凭据,例如用户名和密码。对于企业和消费者来说,这显然是一个长期存在的问题。

不幸的是,这个结论并不是“启示”。个人仍然是安全链中最薄弱的环节。尽管有无数资源用于最终用户培训和安全意识,但 IT 团队仍在努力防止使用弱密码或泄露密码渗透到公司网络中。

之所以如此关注密码和确保密码安全,是因为 88% 的组织仍然使用密码作为保护系统的主要身份验证方法。

这自然吸引了网络犯罪分子的大量关注,他们专注于利用弱密码、窃取凭据、出售凭据,并将其用作破坏组织的初始访问点。

说到密码,事情肯定比表面上看到的要复杂得多。了解这一点以及密码被泄露的模式和趋势、密码如何被泄露以及用户最常见的可能令您惊讶的密码错误,将引导我们走上更强的密码安全之路。

弱密码——它们是如何被利用的

在任何组织中,您都很难找到没有接受过创建强密码培训的员工。如果有的话,这是一个严重的问题。多年来的安全行业建议和最佳实践应该已经锤炼了这个家。然而,即使有了这些建议,研究也表明,被破坏的密码中最常见的基本术语是“password”、“admin”和“welcome”——人们可能认为这些术语显然对任何精通安全的人来说都是禁止使用的。用户。

弱密码仍然是黑客不断获得的礼物。它们是进入组织的简单途径,是唾手可得的果实,可以被夺取并利用来揭示王国的瑰宝:敏感数据。

黑客利用弱密码的常见方法有以下三种:

字典攻击:

黑客使用预定义的“字典列表”来猜测密码或解密密钥的可能性。这些范围可以从常用的密码和短语到特定行业中的常用术语,利用人类在创建密码时选择简单和熟悉的倾向。黑客通常会利用社交媒体平台收集有关特定用户及其组织的信息,深入了解他们可能选择的潜在用户名和密码。当然,许多最终用户会为这些术语添加至少少量的变化,这就是暴力技术的用武之地。

暴力攻击:

暴力攻击使用软件尝试所有可能的字符组合,直到找到正确的密码或解密密钥。虽然这看起来可能很耗时,但它可能是针对较短或不太复杂的密码的一种非常有效的方法 - 特别是当通过使用字典列表中的常见基本术语获得领先优势时。以这种方式组合技术称为混合攻击。例如,“password”可以是字典列表中的基本术语。暴力攻击将尝试所有后续变体,例如“password,Password,P@$$w0rd,P455w0rD,password1,password!” 等等。这利用了人们对弱基本术语所做的常见变化来满足组织的复杂性要求。

Mask 攻击:

掩码攻击是暴力破解的一种形式,攻击者知道常见密码构造的元素,因此可以减少正确密码所需的猜测次数。例如,攻击者可能知道许多密码都是八个字符,以大写字母开头,以一些标点符号结尾,例如“Welcome1!”。因此,他们可能只会尝试与此模式匹配的组合,从而减少尝试的密码总量。或者,他们可能知道某个特定公司的政策很糟糕,例如在轮换密码时将当前月份和年份添加到密码末尾。掌握有关密码构成的任何明确信息都可以大大加快暴力攻击的速度。

键盘行走

密码的另一个常见基本术语可以在传统键盘上找到。术语“Qwerty”、“asdfghjkl”或“zxcvbnm”可能看起来像是随机组合,但它们只是键盘上彼此相邻的字母。这些被称为“键盘输入”或“手指输入”,被视为员工快速且难忘的密码。不幸的是,它们非常容易受到损害。最常用的键盘输入模式是“Qwerty”,它在包含 8 亿个泄露密码的列表中出现了超过100 万次。在新的泄露云应用程序凭据列表中,甚至发现“123456”是最常见的泄露密码。

现在,认为密码问题仅属于普通员工的观念是不正确的。事实上,IT 管理员在选择密码时往往同样粗心。研究显示,在扫描的 180 万个管理员凭据中,超过 40,000 个管理门户帐户使用弱密码“admin”来保护对组织内具有最高访问级别的一些最敏感帐户的访问。

不言而喻,保护对敏感信息的访问必须是组织内每位员工的首要任务。最重要的是,这首先要创建更强的密码。

但到底什么才是强密码呢?

强度、长度和安全性

目前,Active Directory中默认的密码长度要求是8个字符,这也是许多网站最常见的长度。然而,考虑到现代破解技术的复杂性,黑客破解8个字符的长密码所需的时间不到3小时。此外,如果个人使用已知的泄露密码,该密码将立即被破解。强烈建议组织强制最终用户创建长度至少为 15 个字符的密码。

虽然这对于某些员工来说可能是一个难以记住的挑战,但克服这一问题的方法是鼓励使用由三个随机单词组成的密码短语。嵌入特殊字符以及使用字母和数字的组合只会增强密码。

总的来说,需要更强大的密码策略来防止使用被破坏的、常见的和容易猜测的密码进入系统。为了实现这一目标,需要采取多管齐下的方法,使组织拥有必要的流程来检测泄露的密码——甚至是那些在工作场所之外被泄露的密码。实施全公司范围的密码策略有利于实现这一结果,因为有一些可用的解决方案可以与组织的 Active Directory 集成,以防止使用键盘操作、不符合长度和/或设定标准的密码。复杂性,或在泄露列表中检测到的密码。

应持续针对泄露的密码列表扫描 Active Directory 密码,如果组织内使用了泄露的密码,则应立即向 IT 团队发出警报,以便他们可以立即强制最终用户在下次登录时更改密码。

是的,密码仍然是 IT 团队的一个重要问题,也是许多企业防御中的一个巨大薄弱环节。尽管如此,通过遵循安全最佳实践并部署安全参数,将在帮助 IT 团队实现整个组织的密码安全方面取得巨大改进。虽然很难想象 2024 年会实现全面的密码安全,但这肯定会成为 IT 团队努力前进的目标。

本公众号技术文章仅供学习交流之用【转载请注明:转载自CISSP Learning】。

扫描下方二维码加入CISSP Learning知识星球


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
周飒博客-ZhouSa.com