?譯者 | 布加迪

審校 | 孫淑娟

密碼是用于確保安全訪問系統的最基本、最常用的身份驗證方法。但是為眾多平臺使用和維護安全密碼的過程可能相當乏味。據Verizon發布的《2020年數據泄露調查報告》顯示，薄弱、重復使用的密碼導致了81%的數據泄露事件。除此之外，還有更多與密碼有關的漏洞和風險，如今密碼成了一種越來越不合適的身份驗證方案。

一、密碼的三大問題

人類行為和密碼——許多人圖方便而不是圖安全。使用簡單、易記的密碼，或者在所有不同的平臺上使用同一個密碼是很常見的做法。此外，共享密碼和使用不安全的方法存儲密碼是導致大多數密碼攻擊的主要原因。做好適當安全的密碼保護既是您個人的責任，也是貴組織的責任。

復雜的管理——許多組織設置的密碼策略要求員工經常更改密碼、記住多個復雜的密碼，并在忘記密碼時重新設置密碼，這一切花費大量的時間和支持資源。對于員工來說，在處理密碼時，其中許多程序效率低下、不方便且不現實。這也給IT部門帶來了解決密碼相關問題方面的巨大負擔。同樣，個人也為流行的網站和應用程序在密碼方面的諸多要求而苦惱。

越來越多的密碼泄露——據安全網站HackerNoon報道，1400萬個密碼中80%以上可以在短短20小時內被破解。如今攻擊者擁有強大的工具和程序，可以專門破解密碼。然后，所有泄露的密碼都被發布在暗網上，用于撞庫和密碼噴灑等攻擊。

二、密碼攻擊類型

密碼攻擊包括通過各種技術和攻擊工具利用系統授權漏洞。威脅分子使用強大的攻擊實現自動化，主要在短時間內大規模攻擊特權帳戶。作為一名安全專業人員，有必要了解一些最流行的攻擊類型及其防御方法：

1、社會工程和人類發起的攻擊

網絡釣魚攻擊——這是最常見的社會工程密碼攻擊。它們使用各種方法引誘用戶點擊惡意鏈接。避免網絡釣魚攻擊的一些最佳方法包括尋找可疑的電子郵件標題、主題、附件和鏈接。拼寫錯誤、域名拼寫混亂、偽造標志以及寫得不好的電子郵件也表明來源可疑。

竊聽和背后偷窺——竊聽是指通過語音或數字手段泄露密碼。您是否無意中偷聽到有人在打電話時背誦機密信息？犯罪分子會利用這種粗心的行為，收集盡可能多的信息。遵循適當的安全做法以及良好的電話禮儀，可以防止您成為竊聽的受害者。

背后偷窺指攻擊者通過觀察一個人在鍵盤上輸入密碼或PIN碼來獲取憑據。在偷手機之前，手機竊賊可能偷看您輸入或者刷屏幕鎖碼，這讓您的數據處于危險之中。對周圍的人保持警惕，解鎖設備時擋住屏幕可以保護您的信息。

2、猜測密碼的攻擊

字典攻擊——使用預定義的單詞列表，單詞來自以前泄密事件中的密碼。字典攻擊中使用的攻擊工具可以為密碼添加更多的后綴和前綴，猜測攻擊目標的特征，進一步增加了破解密碼的機會。

蠻力攻擊——一種嘗試所有可能的密碼組合的試錯方法。抵御蠻力破解的最好方法是使用長密碼，而不是標準密碼。

密碼噴灑攻擊——威脅分子嘗試使用同一個密碼訪問多個帳戶，然后再嘗試另一個密碼。這種攻擊不會引起任何懷疑，因為威脅分子將攻擊分散在多個帳戶當中，而不是針對單個帳戶進行多次攻擊。這種攻擊在管理員未能更改默認密碼的網站和平臺上最為成功。

三、如何防止密碼攻擊？

組織可以為密碼管理設置強大的安全協議和機制，以應對現代威脅和攻擊。個人也可以養成良好的密碼保護習慣。據NIST指南顯示，建議使用長度為8個至64個字符的密碼和長密碼短語。密碼短語可以阻止蠻力攻擊，它們并不與密碼字典中的條目匹配，也不包含個人身份信息。使用密碼管理軟件以避免重復使用密碼，只有在密碼泄露或遺忘時才重置密碼。

啟用多因素身份驗證（MFA）是對帳戶的最佳保護。使用密碼作為唯一的身份驗證機制會帶來巨大的安全風險。一次性密碼（OTP）、硬件令牌和身份驗證應用程序將提高您的個人安全性。

四、密碼的未來

由于基于密碼的攻擊越來越多，未來很可能會使用無密碼身份驗證。無密碼身份驗證本質上更安全，因為沒有傳統意義上的密碼被泄露。最常見的無密碼身份驗證方法是生物特征識別、OTP碼、推送通知和神奇鏈接。神奇鏈接是一種方法，它不向用戶請求密碼，而是創建支持登錄的唯一鏈接，并通過電子郵件發送。

五、結論

密碼已經成為一種過時的身份驗證方法，容易受到許多威脅和攻擊。僅使用基于密碼的身份驗證方法現在被認為不太安全，因為存在無數可用的密碼攻擊。雖然組織有特殊的工具來執行良好的身份驗證策略，但個人也應該提高帳戶安全性。采用MFA和基于無密碼的身份驗證方法是一種簡單又免費的方法，可以立即保護您的帳戶。

原文鏈接：https://www.tripwire.com/state-of-security/are-passwords-really-safe-we-think