量子哈希
密码安全是保护我们密码的安全性。密码是最常用的身份验证方式之一,用于登录系统或其他应用程序。除了密码外,我们还可以使用数字令牌、生物特征等进行身份验证,但密码始终是最常见的身份验证因素。如果密码没有得到保护,或者被他人猜测并且网站没有足够的安全措施来防护,那么您的系统将完全暴露在攻击者面前,没有任何秘密可言。
密码攻击的危害可以通过保险场景来说明。假设您是一家保险公司的普通客户,某天您接到一个谎称是保险公司客服的电话,声称保单查询系统正在升级,需要您提供登录保单查询系统的用户名和密码。如果您没有足够的安全意识,透露了您的用户名和密码,对方可以通过社会工程学攻击查询并修改您的信息,甚至篡改账户资金分配。如果您的密码恰好是您最常用的密码之一,骗子可能会使用您的密码进行撞库攻击,接下来您可能会收到大量的外部保险推销电话和异常登录的短信提示,造成严重的信息泄露。另外,如果保险公司有一个积分系统平台,客户可以使用保费兑换积分并在积分商城兑换礼品。如果您的密码设置为常见的弱密码,黑客可以冒充您登录积分平台,并将您的积分兑换为贵重商品并邮寄到指定地址,给您造成损失。对于公司而言,客户会怀疑保险公司系统存在漏洞,导致个人信息泄露,从而造成退保和投诉等业务损失。因此,密码问题可能导致客户损失、客户投诉、业务损失和监管处罚,这样的情况每天都在我们的生活中发生,最终影响的是公司的业务。
常见的密码攻击手段包括:
- 暴力破解:尝试所有可能的密码组合来猜测用户使用的密码。
- 字典攻击:根据受害人的个人信息生成可能使用的密码字典进行攻击。
- 密码猜测:尝试猜测常用的简单密码登录账户。
- 彩虹表攻击:通过预先生成的哈希值表来破解密码。
- 社会工程学攻击:利用人性弱点和技术手段进行攻击,如电话客服套取密码、肩窥、垃圾搜索等。
- 间谍软件:恶意软件可以窃取计算机中传输的所有机密信息,包括密码。
- 窃听攻击:使用嗅探工具抓取流量包,如果包中传输的是明文协议,可以查看其中的用户名和密码等内容。
常用的密码攻击工具包括:
- 字典生成工具:如Crunch、CUPP等,用于生成密码字典。
- 密码破解工具:如Hydra、Medusa、Aircrack-ng等,用于进行密码破解。
- 钓鱼邮件和电话钓鱼攻击:利用虚假的邮件或电话进行钓鱼攻击。
P2 常见密码安全风险行为
密码是权限控制的第一道关卡,但由于许多用户设置的密码过于简单,登录系统也没有强制采用强密码策略,同时缺乏其他多因素身份验证方式,以及用户安全意识不足,容易受到社会工程学攻击。此外,密码被破解后缺乏异常登录报警和及时监测,导致攻击频发。
常见的密码安全相关风险行为包括:
- 设置弱密码,如123456等简单密码。
- 轻易相信他人,未验证身份就透露密码和密保问题。
- 不定期修改密码,包括使用共享密码。
- 主动泄露密码。
- 肩窥等行为。
黑客是常见的攻击者,他们利用各种漏洞发动攻击,造成风险。
P3 安全行为规范建议
风险的常见处置方式包括:
风险的接受、规避、减小和转移。
风险控制的手段包括预防性控制、检测性控制和修复性控制。根据功能性,可以分为物理性控制、逻辑性控制和管理性控制。
常见的安全行为规范包括:
- 强密码策略:设置密码复杂度要求。
- 密码历史:限制密码的使用历史。
- 密码最长/最短使用时间:设置密码的最长和最短使用时间。
在设计系统时,除了进行密码验证外,还应采用口令、令牌或生物验证等其他方式进行双因素或多因素身份验证。此外,密码找回问题也应设计得不太简单,并且需要不断验证身份等。这些都是密码设计的安全行为规范。
最后,在内网实施密码策略,可以通过组策略在预控服务器上执行,包括密码长度、复杂度等强密码策略,以及账户锁定的阈值和持续时间等。此外,还可以在线上系统中使用加密存储账户密码,定期进行审计并及时触发报警等。推荐学习《密码安全》课程,该课程涵盖了强密码策略、内网密码攻击示例、账户密码加固策略以及加密基本原理等内容。
视频地址:
