密码设置需避开哪些雷区1

发布时间:2019年04月19日发布人:edison 来源: 浏览次数:

当今互联网给人们的生活带来便利的同时,也让网络安全、信息安全成为当下热议的话题。比如,数据泄露问题或者密码泄露问题都给大众带来了极大的担忧。就密码管理而言,如今许多公司都会制定密码管理策略,但是在制定密码管理策略时,会有哪些常见的问题也需要引起高度关注。

虽然现在身份验证技术已经更加成熟,但是密码仍然是保护我们最敏感信息的主要途径。密码是防御潜在入侵者试图模仿另一个用户的第一道防线,但这样的防护往往比较弱。用户通常想创建易于记忆的密码,使用出生日期或纪念日,甚至写下来。开发人员则想尽可能少地投入密码管理策略中。毕竟,研发新功能比密码管理和存储更令人兴奋、更有趣。

许多密码本身安全性非常弱,很容易猜得到,攻击者就会有机可乘。最糟糕的是,我们信任的密码存储系统和其它关键信息的系统也面临着许多安全挑战。黑客会反复尝试密码数据库进行盗窃,攻击者同伙经常会破坏那些保护数据的模式。

我们探讨一下公司在密码管理策略方面做出的一些常见错误。让在下面的讨论中,我们将提到“在线攻击”和“离线攻击”。在线攻击是对应用程序登录页面的攻击,攻击者试图猜测用户的密码;离线攻击是攻击者获取密码数据库副本,并尝试计算存储在其中的用户密码的攻击。

您已限制用户可以使用的字符数量或种类

推理:安全人员反复告诉开发人员验证所有输入以防止各种攻击(例如,注入攻击)。因此,根据某些规则来制定验证密码的规则必然是一个好主意,对吧?

攻击:限制密码中字符数量或种类的问题是减少了可能的密码总数。这使得在线和离线攻击更容易。如果我知道只允许在密码中使用特殊字符!和@,那也就是我知道用户密码都没有包含#,$,%,< 和>等字符。此外,如果我知道只允许长度为8到12个字符的密码,我也就知道所有用户都没有使用13个字符或更长的密码。如果我想猜测用户的密码,这些规则可以让我的工作变得更轻松。

但是SQL注入、跨站点脚本,命令注入和其它形式的注入攻击呢?如果遵循密码存储最佳做法,您将在收到密码后立即计算密码的哈希值。然后,您将只处理哈希密码,不必担心注入攻击。

防御:允许用户选择包含任意字符的密码。指定最小密码长度为8个字符,但在可行的情况下允许任意长度的密码(例如,将它们限制为256个字符)。

您在使用密码组合规则

推理:大多数用户选择容易猜到的密码。我们可以通过让用户选择包含几种不同类型字符的密码,以强制用户选择难以猜测的密码。

攻击:安全专业人员曾经认为,让用户选择包含各种字符类型的密码会增强密码的安全性。不幸的是,研究表明这通常没有帮助。 “Password1!”和“P @ ssw0rd”可能遵循了许多密码组合规则,但这些密码并不比“password”更强。密码组合规则只会让用户难以记住密码;它们不会让攻击者的工作变得更加困难。

防御:摆脱密码组成规则。在应用程序中添加密码复杂性检查功能,告诉用户他们的密码选择是否明显强度偏弱。但是,不要强制用户在其密码中添加数字、特殊字符等。稍后,我们将讨论如何使应用程序更安全,以防止安全性弱的用户密码。

上一条:2019年2月教育信息化和网络安全工作月报 下一条:十项关于网络安全的迷思2

关闭

XML 地图 | Sitemap 地图