数据观澜物联网
快捷导航
您的位置:首页>网络安全>>密码真如我们所想象的那么安全吗? >

密码真如我们所想象的那么安全吗?

  发布时间:2025-12-07 21:15:07   作者:玩站小弟   我要评论
​译者 | 布加迪审校 | 孙淑娟密码是用于确保安全访问系统的最基本、最常用的身份验证方法。但是为众多平台使用和维护安全密码的过程可能相当乏味。据Verizon发布的《2020年数据泄露调查报告》显示 。

​译者 | 布加迪

审校 | 孙淑娟

密码是密码用于确保安全访问系统的最基本、最常用的真们身份验证方法  。但是所想为众多平台使用和维护安全密码的过程可能相当乏味 。据Verizon发布的那安《2020年数据泄露调查报告》显示,薄弱、密码重复使用的真们密码导致了81%的数据泄露事件 。除此之外 ,所想还有更多与密码有关的那安漏洞和风险 ,亿华云如今密码成了一种越来越不合适的密码身份验证方案。

一 、真们密码的所想三大问题

人类行为和密码——许多人图方便而不是图安全。使用简单 、那安易记的密码密码 ,或者在所有不同的真们平台上使用同一个密码是很常见的做法 。此外 ,所想共享密码和使用不安全的方法存储密码是香港云服务器导致大多数密码攻击的主要原因 。做好适当安全的密码保护既是您个人的责任,也是贵组织的责任 。

复杂的管理——许多组织设置的密码策略要求员工经常更改密码、记住多个复杂的密码 ,并在忘记密码时重新设置密码,这一切花费大量的云计算时间和支持资源。对于员工来说,在处理密码时,其中许多程序效率低下、不方便且不现实。这也给IT部门带来了解决密码相关问题方面的巨大负担 。同样,个人也为流行的网站和应用程序在密码方面的诸多要求而苦恼。

越来越多的密码泄露——据安全网站HackerNoon报道,1400万个密码中80%以上可以在短短20小时内被破解。如今攻击者拥有强大的工具和程序,建站模板可以专门破解密码。然后,所有泄露的密码都被发布在暗网上,用于撞库和密码喷洒等攻击。

二、密码攻击类型

密码攻击包括通过各种技术和攻击工具利用系统授权漏洞。威胁分子使用强大的攻击实现自动化 ,主要在短时间内大规模攻击特权帐户。作为一名安全专业人员 ,有必要了解一些最流行的攻击类型及其防御方法 :

1、社会工程和人类发起的攻击

网络钓鱼攻击——这是最常见的源码下载社会工程密码攻击。它们使用各种方法引诱用户点击恶意链接。避免网络钓鱼攻击的一些最佳方法包括寻找可疑的电子邮件标题、主题、附件和链接。拼写错误、域名拼写混乱 、伪造标志以及写得不好的电子邮件也表明来源可疑  。

窃听和背后偷窥——窃听是指通过语音或数字手段泄露密码。您是否无意中偷听到有人在打电话时背诵机密信息 ?犯罪分子会利用这种粗心的行为,源码库收集尽可能多的信息 。遵循适当的安全做法以及良好的电话礼仪,可以防止您成为窃听的受害者。

背后偷窥指攻击者通过观察一个人在键盘上输入密码或PIN码来获取凭据。在偷手机之前,手机窃贼可能偷看您输入或者刷屏幕锁码,这让您的数据处于危险之中。对周围的人保持警惕,解锁设备时挡住屏幕可以保护您的信息 。

2、猜测密码的攻击

字典攻击——使用预定义的单词列表,单词来自以前泄密事件中的密码。字典攻击中使用的攻击工具可以为密码添加更多的后缀和前缀,猜测攻击目标的特征 ,进一步增加了破解密码的机会。

蛮力攻击——一种尝试所有可能的密码组合的试错方法。抵御蛮力破解的最好方法是使用长密码 ,而不是标准密码 。

密码喷洒攻击——威胁分子尝试使用同一个密码访问多个帐户,然后再尝试另一个密码。这种攻击不会引起任何怀疑  ,因为威胁分子将攻击分散在多个帐户当中,而不是针对单个帐户进行多次攻击  。这种攻击在管理员未能更改默认密码的网站和平台上最为成功 。

三 、如何防止密码攻击?

组织可以为密码管理设置强大的安全协议和机制,以应对现代威胁和攻击 。个人也可以养成良好的密码保护习惯。据NIST指南显示,建议使用长度为8个至64个字符的密码和长密码短语 。密码短语可以阻止蛮力攻击,它们并不与密码字典中的条目匹配 ,也不包含个人身份信息。使用密码管理软件以避免重复使用密码,只有在密码泄露或遗忘时才重置密码 。

启用多因素身份验证(MFA)是对帐户的最佳保护。使用密码作为唯一的身份验证机制会带来巨大的安全风险 。一次性密码(OTP)、硬件令牌和身份验证应用程序将提高您的个人安全性 。

四 、密码的未来

由于基于密码的攻击越来越多,未来很可能会使用无密码身份验证。无密码身份验证本质上更安全,因为没有传统意义上的密码被泄露 。最常见的无密码身份验证方法是生物特征识别、OTP码、推送通知和神奇链接 。神奇链接是一种方法,它不向用户请求密码  ,而是创建支持登录的唯一链接 ,并通过电子邮件发送。

五 、结论

密码已经成为一种过时的身份验证方法,容易受到许多威胁和攻击。仅使用基于密码的身份验证方法现在被认为不太安全 ,因为存在无数可用的密码攻击。虽然组织有特殊的工具来执行良好的身份验证策略,但个人也应该提高帐户安全性。采用MFA和基于无密码的身份验证方法是一种简单又免费的方法 ,可以立即保护您的帐户。

原文链接 :https://www.tripwire.com/state-of-security/are-passwords-really-safe-we-think

  • Tag:

相关文章

  • 一种穷人式的内存泄露检测方式

    对于检测程序代码中的资源泄露问题,市面上已经有很多工具了,但是今天我再来介绍一种新的方式,这种方式不需要安装任何工具或者特定的编译器开关,也不需要第三方库。那就是:一直保持程序运行,直到泄露的原因自动
    2025-12-07

  • 攻击数量创历史之最 | 《Web3安全季度报告》解读

    CertiK近期发布了《Web3 安全季度报告》2022年第二季度版),报告描述了2022年第二季度的Web3网络安全质量的状况,并指出2022年第一、二季度与web3网络相关的经济损失已超20亿美元
    2025-12-07

  • 如何制定一个可落地的漏洞补丁管理策略?

    凡事难得尽善尽美,软件程序更是如此。安全厂商发布的众多软件和固件中不可避免地会存在各种安全漏洞和功能缺陷。但如果企业用户能够采取合适的策略和机制,就可以解决这些缺陷可能造成的安全问题。企业如果采取正确
    2025-12-07

  • 一文读懂数据加密!

    在短短 20 年的时间里,互联网已经从一种理论工具转变为我们日常活动各个方面的中心,从通信和商务到工作和数据存储。加密是一种流行且实用的安全方法,使其成为保护组织数据的绝佳选择。数据加密技术是保护敏感
    2025-12-07

  • 窃取450G的AMD内部数据,这些黑客可能只用了五分钟?!

    每次一听到黑客入侵科技公司,盗走上百GB内部资料,总会下意识地惊叹黑客们的技术也在与时俱进。但是AMD最近遇到的这个事,似乎没有这么复杂。一般来说,公司员工登录公司系统都有自己的账号密码上吧,问题就出
    2025-12-07

  • 隔空点你的手机!新攻击装置可向屏幕发送电磁脉冲,模拟手指点击

    以往我们认为黑客攻击手机,只能通过软件的方式进行,只要我们注意不要下载不明来源的应用,就能避免这样的攻击。然而,研究人员开发了一款概念验证攻击装置,该装置可以向触摸屏发送电磁脉冲,模拟手指的点击。研究
    2025-12-07

最新评论