密碼管理的困境:糟糕的習慣與不當政策
1. 糟糕的管理員密碼
根據最近來自安全技術公司 Outpost24 的研究,系統管理員最常使用的密碼是「admin」,其餘很容易被猜測或來自於初始設定和登入的預設密碼。這種現象引發了對於密碼管理的關注,並且將其與網路攻擊的研究聯絡起來。根據 Verizon 的資料洩露調查報告,攻擊者最常使用的方法是盜取憑證,而不是魚叉式攻擊和漏洞擴大。此外將猜測密碼和試誤攻擊結合起來,攻擊者也會嘗試在不同的帳號中使用已獲取的密碼。2. 無法只怪使用者
但這種違規使用糟糕密碼的現象並不僅僅是使用者的錯。組織和服務提供商也需要制定適當的政策和工具來支援良好的密碼管理。很多系統仍然使用七到十二個字元的短密碼,這些密碼自從網路成為生活方式之前就一直使用。組織並不經常向使用者提供有關如何更改密碼的指導,因此使用者只會選擇可預測的模式,例如只在提示更改密碼時更換最後一位數位。雖然這是使用者的問題,但對管理員來說他們應該更加懂得這個問題。實踐良好的密碼安全習慣
1. 強制執行密碼策略
對於組織來說首先應該自動更改預設密碼,並且這應該是一項公司要求。同時組織還應確保應用適當的策略。管理員應該擁有兩個帳戶:一個用於非管理工作,例如處理郵件和進行研究;另一個帳戶用於管理工作。對於這些帳戶,他們應強制使用強大且未受侵犯的長密碼。同時管理員帳戶應該盡可能啟用多因素身份取證(MFA)。2. 使用密碼管理器
對於管理員面臨的太多密碼的問題,他們應該考慮使用密碼管理器。這樣的管理系統應該始終具有強大的口令,長度比普通密碼更長,因此更難被駭客猜測。例如,可以使用 15 個具有意義的隨機單片語成的密碼。此外對於這種管理器,沒有必要使用複雜的密碼,並且可以持續掃描是否受到侵犯,因此甚至不需要定期更改。密碼管理的未來
1. 採用現有工具
對於那些透過建立強大而複雜的密碼努力保護自己的使用者,他們可能對 Outpost24 的研究結果感到沮喪。儘管如此他們應該持續關注,並向身邊的同事傳達這個問題的重要性。儘管人們對密碼不喜歡,但在可預見的未來,密碼仍然是身份取證過程的關鍵部分,因此我們應該嘗試正確使用它們。2. 強調最佳實踐和工具
雖然無密碼和密碼鍵是增強網路安全的新方法,但這些方法還不夠成熟。因此組織應該強調最佳實踐並使用現有的工具。避免使用預設密碼、使用防惡意軟體工具、進行連續的身份取證掃描等都是重要的實踐方法。結論
在當今社會,我們無法避免使用密碼。然而我們可以透過實踐良好的密碼安全習慣來降低風險。這不僅需要使用者自身的努力,也需要組織提供相應的政策和工具支援。因此無論我們喜不喜歡使用密碼,我們都應以正確的方式使用它們,因為一個被盜用的憑證就足以暴露整個基礎設施或個人生活的安全性。Frustration-wordpress,密碼管理,安全性,管理員,糟糕,失望
延伸閱讀
- Glow 修復漏洞,保護使用者個人資料
- AI 領域的參訪之旅以及為何我們應該停止向自駕車投擲火焰
- 假冒密碼管理程式 LastPass 的虛假應用程式剛從 App Store 下架
- X 將在 iOS 上新增支援 passkey,去年移除了 SMS 2FA 支援
- Citrusx 助您確保 AI 模型符合規定
- Quora 推出 AI 聊天機器人創作者經濟,讓人引頸期盼!
- Gracy Chen:《加密每日與 Bitget 董事總經理 Gracy Chen 座談》
- 水形遊戲推出 HeadCoach 實時教練 AR 遊泳眼鏡
- 山姆·班克曼-弗裏德站臺上需要更好的回答
- Weav 突圍而出,為企業提供即插即用的 AI 副駕駛員
