开篇先分享一个故(
shì)事(gù)引入本期话题:某公司请第三方安全机构做渗透测试,安全机构的大神们各显神通后发现客户公司的信息安全防护还是非常到位的,一时半刻难以得手。于是乎测试团队另辟蹊径,提出“钓鱼”方案,搭建了一个从访问地址到内容都能够以假乱真的客户公司的管理平台,并向所有管理者发送邮件称管理平台“临时维护”,维护期间,如需使用管理平台请从“钓鱼岛”登录。自古套路得人心,就这样,测试团队顺利拿到管理员的账号和密码,圆满完成渗透任务。
在日常生活中,各种各样的密码安全问题,层出不穷,由此引发的各种恩怨情仇,坑蒙拐骗,大家是否早已身经百战,甚至见怪不怪了呢?
从坏人的角度出发,获取账号密码的手段可以分为技术手段与非技术手段。技术手段从密码本身着手,暴力破解,利用软硬件监听记录;非技术手段则以人为切入点,坑蒙拐骗,稍有不备,信息就会在不经意间泄露。两种手段相互结合,“拖库-洗库-撞库”,一条龙服务,多少密码到头来被“安排”的明明白白。
无论对手的活计有多花哨,套路有多深,坚持良好的密码管理与使用习惯,恪守本心,方为正理。有道是,“他强由他强,清风拂山岗。他横由他横,明月照大江”。
在下今日奉上《密码真经》一册,与诸君共享——
第一式 不要弱密码!不要弱密码!不要弱密码!
首先要强调一点,凡是能够轻易被暴力破解的密码都是弱密码,不单指简单密码,也不仅限于各种字典表。那么,如何才能得到一个不是弱密码的密码呢?例如,1password 上随机生成的密码,默认长度 24 位,含大小写字母、数字和符号的混合。而设置一个足够安全又便于记忆的密码,其实并不复杂,有很多简单易操作的方法 (参见《“2020网络安全宣传周” 12345678?!》)。此外,给密码加密同样是个好办法,比如,把熟悉的密码在键盘上全部向右平移一格输入,就会得到一个难以分析且方便好记的新密码。
第二式 对密码进行分级 控制密码数量
日常生活中,我们要处理不同账号的许多密码,可以根据实际使用情况,对账号密码归类分级,比如“核心-重要-普通”的经典三分法。各级密码要做到互不相通,不要有任何联系。反复使用相同的密码注册账号是大忌。切记能使用第三方账号登录的尽量选择关联三方帐号,减少注册所需的密码数量。http://haveibeenpwned.com 建议使用 1password 为每个账号生成对应的随机密码,以确保足够安全。但这里也提醒大家慎重使用密码管理软件,重要的密码不应该被写在“纸”上,能存储本地的尽量少上云,云上存储则需要加密且足够安全。务必妥善保管好密码管理软件本身的安全凭据,倒持太阿不可取。
此外,安全性与易用性,密码数量与可管理性之间,都需要维持平衡。
第三式 密码不要长期使用 经年不换
密码更新要做到脱胎换骨,新密码和原密码同样要做到互不相通,举例来说,本质上 “password2019” 和 “password2020” 其实可以算做一个密码。密码多久更换一次、如何更换,并没有固定规则,很大程度上,这取决于用户如何在安全性和易用性之间保持平衡。实际工作与生活中经常会遇到密码经年不变的情况,这极大加剧了密码泄露的风险,这些不慎落入不法之徒手中的“老密码”就有可能为其创造“机会之窗”。
通过一些工具,我们可以比较容易地掌握自己密码的泄露情况。例如,在网站 http://haveibeenpwned.com 输入密码进行查询,可以看到你的密码是 “Oh no — pwned!” 还是 “Good news — no pwnage found!”。还有,在 Google Chrome 浏览器上也能通过安全检查了解自己的密码是否已被泄露到了互联网上。当然,日常关注社工库也是个不错的办法。
第四式 输入密码注意环境安全
在不安全的环境 (如网吧、公用电脑、公共WIFI) 里,首先要避免直接进行密码操作,尽量使用软键盘输入密码,其次,要多多留心浏览器的安全信息提示,木马病毒、钓鱼、抓包、劫持其实距离我们并不遥远。
你听,每次 ATM 都在提醒:
请确认周边环境安全
注意遮挡小键盘
第五式 多因子身份认证 设置登录保护
尽可能使用多因子身份认证,提高账号安全性。尽量设置登录设备白名单、登录地区白名单、异常登录提醒等,可以有效降低密码被盗后的风险与损失。
总之,密码安全问题看似老生常谈,但依旧是一个长期存在的隐患,持续困扰着大家。即便未来我们普遍采用类似生物检查的技术来取代密码,类似的问题依然会存在,正如曾经大家还在试图寻找最牛的字典表,现如今已经渐渐发展为社工满地走了。当然,你有张良计,我有过墙梯,网络安全的攻防总是在不断博弈中进步的,不要期望一劳永逸的密码安全,坚持良好的密码管理与使用习惯才会使我们始终受益,防患未然。(张旭 | 天存信息)
原创文章,作者:奋斗,如若转载,请注明出处:https://blog.ytso.com/114914.html