En 400-6655-581
5
返回列表
> 资源中心 > 文章>产品>MFA(多因素认证)> 1亿个密码遭泄漏,“最弱密码”继续领跑,企业“弱密码”亟需消灭!

1亿个密码遭泄漏,“最弱密码”继续领跑,企业“弱密码”亟需消灭!

文章

2024-01-23浏览次数:498

IT之家 1 月 20 日消息,安全研究人员发现了有史以来最大的密码泄露事件之一,包含 7084 万个电子邮件地址以及超过 1 亿个密码凭证,至少有超过 40 万 Have I Been Pwned(HIBP)用户受到影响。

 

一直以来,身份与访问管理(IAM)就是企业数据安全的重灾区,而“弱密码”更是震中。据2023年11月,NordPass 公布的 2023 年最常用的 200 个密码。不出所料,“123456”继续领跑年度“最弱密码”榜首!

 

早在2011年,美国某密码管理应用程序提供商就开始统计年度“最弱密码”榜单,“123456”就是其中的“老主顾”,且一直位列“前茅”。而这样的弱密码往往只需要使用简单的暴力破解工具在1秒内即可破解。

 

尽管,我们都非常清楚地知道弱密码的危害大、破坏强、影响广......可为什么弱密码现象却总是在企业中屡禁不止呢?

 

 

 

01

弱密码现象为何屡禁不止?

 

回答这个问题之前,我们首先来了解下什么是弱密码?顾名思义,弱密码简单理解就是容易破译的密码。这样的密码往往具备以下几点特征:

 

1、密码长度少于8个字符;

2、字典中的单词;

3、多为简单数字组合、帐号与数字组合、键盘上临近键或常见姓名,如“123456”等;

4、默认密码,例如无线路由器常见的初始密码admin;

5、姓名、生日、QQ、电话号码、邮箱等,或它们的组合。

 

仔细回想一下,你设置的密码是不是基本逃不出这5大特征?

 

既然我们了解了弱密码的特征,那改掉不就行了吗?可事实却是,改掉并没有想象中的那么容易。

 

众所周知,企业为了满足国家政策法规对密码安全要求,减轻员工账号密码负担,做了很多努力。

 

例如,上线单点登录系统,实现一个账号密码即可登录所有业务系统,减轻密码记忆负担;设置密码长度,要求密码区大小写、添加符号,强制定期改密等防范技术措施......

 

然而,哪怕是每个人一个密码,企业弱密码现象也仍是普遍存在。因为人习惯于记忆那些有一定规律的数字或字母符合等组合的心理现象是不会变的。

 

更何况除了人,企业网络中还有各种安全设备、网络设备、应用系统等每天在产生大量密码!

 

 

 

02

不用密码就没有所谓的弱密码

 

那是否就消除不了企业弱密码现象呢?答案是否定的。

 

因为身份认证的凭据从来不只密码一种。我们每个人都是一个行走的“密码库”,每个人的“所知(我知道而你不知道)、所持(我持有的东西你没有)、所有(我独有特征你没有)”,都可以作为身份认证的凭据。

 

所以,针对人,企业可以采用派拉软件提供的多因素认证平台。平台支持以下多种登录认证方式,企业可按需设置:

 

01

图片

账号登录

 

支持用户名+密码、邮箱+密码、手机号+密码、自定义属性+密码,记住密码;

 

02

图片

验证码登录

 

支持手机短信、钉钉消息、企业微信消息、微信公众号消息验证码登录系统;可以设置发送策略,支持图形验证码和滑块验证码进行消息接口保护;

 

03

图片

动态口令登录

 

支持在线OTP ,离线OTP;支持标准 radius 协议 OTP 认证;

 

04

图片

生物识别

 

支持人脸识别、指纹识别、声纹识别方式登录系统;

 

05

图片

APP扫码登录

 

支持安卓 APP、iOSAPP ,小程序扫码登录;

 

06

图片

互联网登录

 

微信登录, 企业微信登录, QQ 登录, 钉钉登录, 公众号关注登录, 飞书登录, 抖音登录, 微博登录, 淘宝登录, 支付宝登录,通过规范文档开发,自定义集成第三方登录。

 

......

 

图片

 

这些登录认证方式不仅加强了安全能力,还提升了员工的登录体验,同时还可以直接消除密码。没有了密码,自然也就没有所谓的弱密码!

 

扫描下方二维码,免费申请试用派拉软件多因素认证平台!

图片

 

 

 

03

如何消灭企业其它弱密码?

 

然而,上面这种消灭弱密码的方式存在一定的局限性。对于企业员工日常办公登录而言,这种方式也许很适用。但企业弱密码的来源除了人,还有各种网络设备、应用系统等。

 

这些设备的账号密码往往又具备共享属性。这时候,账号密码的管理方式往往是最佳选择。换句话说,我们不可能完全消灭企业中账号密码这一选项。至少,当下还不能!

 

这时候,怎么办?

 

为了帮助企业真正告别弱密码,满足企业合法合规的安全等级要求,派拉软件自主研发了弱密码检测系统。该系统支持多种加密算法、校验密码强度,同时保障整体系统的密码安全性。整个系统实现了从弱密码发现,到审计,再到治理全流程一体化管理。

 

图片

 

01

图片

超大弱密码库

 

派拉弱密码监测系统拥有 200 万明文密码库、200 万 Hash 弱密码库等,并根据互联网爬虫将互联网常用语义录入系统弱密码库,以及内部根据弱密码规则自定义导入形成自定义弱密码库。

 

02

图片

企业弱密码导入

 

企业内部,行业内部形成特殊的弱密码库可以自行导入,如公司名称、公司部门、特定产品名形成的弱密码或组合弱密码等。

 

03

图片

支持主流密文算法

 

支持主流的密文密码搜索;支持所有HASH算法或加盐HASH;支持对称加密、非对称加密;支持国密算法;支持AD、LDAP、数据库加密算法。

 

04

图片

弱密码分级

 

按密码常用程度或密码策略将弱密码分5个等级,从弱到强,并可视化呈现企业所有密码强度等级情况。此外,在此基础上提供生成适合各种场景的强密码接口。

 

05

图片

弱密码全面扫描

 

弱密码扫描支持AD、LDAP、Radius、DB、Linux等多种扫描方式,可对现有资产已经存在的密码进行密文扫描,无需解密,且具有很好的兼容性。

 

06

图片

Open API

 

提供 Open API 对密码进行弱密码校验能力,可以提供给其他应用系统的改密模块进行调用,从源头解决企业弱密码的问题。

 

不可否认,我们的生活已经被密码层层包围:打开手机屏锁,登录QQ、微博,连接无线网,转账交易,登录办公系统等都需要输入密码,而密码又是抵御网络攻击的第一道防线。

 

或许没有什么能保证绝对的安全,使用指纹解锁、面部解锁等也不例外。但正因为如此,我们更要多注意密码安全,采取与时俱进的技术保护措施,并灵活应用于企业安全实践操作中。这样才能在面对可能发生的意外时,更加从容淡定,安全高效地解决问题!