今日数字世界,口令安全比以往更重要。尽管生物特征识别、一次性口令(OTP)和其他新兴身份验证形式经常被吹捧为传统口令的替代品,但替代传统口令如今仍不过是营销炒作而已。
不过,口令不会很快退出历史舞台,并不意味着企业现在就不需要现代化其口令安全方法。
▶ 被盗凭证危机
正如微软安全团队指出的,“只需要一个被盗凭证,就能引发一场数据泄露”。再加上屡禁不止的口令重用问题,被盗口令可对企业安全造成重大而长期的影响。
事实上,弗吉尼亚理工大学的研究人员发现,口令泄露后,超过70%的用户还会在其他账户上使用该被盗口令长达一年时间;40%的用户会重用三年前就被泄的口令。
虽然被盗凭证问题对大多数IT主管而言不是什么新鲜事,但他们可能会很惊讶地发现:自己解决该问题的诸多尝试常常会造成更多安全漏洞。
此类反而会削弱口令安全的传统方法很多,举例如下:
- 强制口令复杂性
- 定期重置口令
- 限制口令长度与字符使用
- 要求特殊字符
▶ 现代口令安全方法
考虑到与这些传统方法相关联的漏洞,美国国家标准与技术研究院(NIST)修订了其口令安全建议,鼓励用户采用更现代的口令安全最佳实践。NIST更新其口令安全建议的根源在于其认识到,如果用户被迫创建符合复杂性要求的口令,或者被迫定期重置口令,人为因素往往会导致出现安全漏洞。
例如,如果要求口令中包含特殊字符和数字,用户可能会选择“P@ssword1”这种最基本的形式,这种凭证明显十分常见,很容易被黑客利用。可能对口令安全造成负面影响的另一种传统方法,是禁止在口令中使用空格符或各种特殊字符的策略。毕竟,如果想让用户创建容易记忆的独特强口令,又何必对其形态强加诸多限制呢?
此外,NIST如今还建议取消定期口令重置,并建议公司仅在有证据表明口令被泄的情况下才要求更改口令。
▶ 凭证筛选解决方案的作用
那么,公司如何监测口令被盗迹象?可以采用NIST的另一项建议:企业对照包含常用被盗凭证的黑名单持续筛选口令。
可能听起来够简单,但当今严峻的威胁形势下,选择合适的被盗凭证筛选解决方案可谓十分重要。
▶ 动态解决方案必不可少
网上有很多静态黑名单可用,有些公司甚至编制了自己的静态黑名单。但如今这种随时都有数据泄露事件发生的情况下,新鲜被盗凭证不断涌向暗网,可供黑客持续用于发起攻击。现有黑名单或仅每年定期更新的黑名单是应付不了这种高风险环境的。
Enzoic的动态解决方案对照包含数十亿被盗口令的专有数据库筛选凭证。数据库中的被盗口令要么出自数据泄露事件,要么来自破解字典。由于该数据库每天自动更新多次,在自身口令安全是否紧跟最新数据泄露情报方面,公司可以放心,无需投入额外的IT工作。
现代口令安全方法的重要组成部分还包括在口令创建时筛选凭证,以及在创建后持续监测其完整性。如果之前安全的口令后来被泄露,公司可以自动执行适当的操作,例如,在下次登录时强制重置口令,或者在IT展开调查前完全禁止访问。
▶ 前路漫漫
尽管NIST指南通常会为整个安全行业提供最佳实践建议,但最终还是要靠安全主管来决定什么才是最适合公司独特需求的,并相应地调整公司策略。
取决于所处行业、公司规模和其他隐私,或许某些建议并不适合你的公司。
但是,每天接二连三的网络攻击没有减弱的迹象,而且常因口令漏洞造成,我们很难想象会有哪个公司不会从凭证筛选提供的额外安全层中获益。