|
避免因弱密碼帶來(lái)的云端風(fēng)險(xiǎn)
弱密碼對(duì)于依靠云服務(wù)的企業(yè)來(lái)說(shuō)是一種常見(jiàn)的威脅����。云服務(wù)在過(guò)去幾年如雨后春筍般崛起,并被大量的個(gè)人和公司廣泛使用�����。然而,大量的云服務(wù)和應(yīng)用也帶來(lái)了許多需要記住的���,用以連接和使用這些云服務(wù)的密碼��。
有這么多可以通過(guò)某種憑證�����,例如一個(gè)密碼�、一個(gè)PKI密鑰或別的什么方式來(lái)訪問(wèn)的云服務(wù),自然也讓攻擊者有了很多的機(jī)會(huì)來(lái)獲取云服務(wù)的訪問(wèn)����。在大多數(shù)情況下,只要提供正確的密碼就可以從世界任何地方���,通過(guò)互聯(lián)網(wǎng)來(lái)訪問(wèn)云服務(wù)��。這就是為什么他們是單點(diǎn)故障�;弱的云密碼可以被黑客輕易取得來(lái)獲得對(duì)云服務(wù)的訪問(wèn)�。要防范弱密碼的問(wèn)題,我們?cè)谠O(shè)置或更改密碼時(shí)使用最佳的密碼安全措施是非常重要的����,這包括:
初始密碼:如果密碼是由第三方設(shè)定為一個(gè)初始的默認(rèn)值,請(qǐng)重置它���,這樣它就不會(huì)被存儲(chǔ)在歷史或緩存的某處����,導(dǎo)致整體安全性降低���。
共享密碼:設(shè)定共享密碼時(shí)���,請(qǐng)選擇一個(gè)沒(méi)有在其他任何地方使用的密碼�。如果你在另一個(gè)服務(wù)也使用相同的密碼��,攻擊者可以同時(shí)獲得兩個(gè)云服務(wù)的訪問(wèn)����。
密碼有效時(shí)間:假定攻擊者已經(jīng)破解了密碼,并可以訪問(wèn)云服務(wù)�,那么每90天修改一次密碼就非常關(guān)鍵。這種做法有助于防止攻擊者進(jìn)一步取得認(rèn)證并竊取更多的敏感信息���。
密碼最短長(zhǎng)度:密碼長(zhǎng)度應(yīng)至少8位�,雖然我們通常建議更長(zhǎng)的密碼�����。為了安全起見(jiàn)���,造一個(gè)句子來(lái)作為你的密碼。
密碼強(qiáng)度:密碼應(yīng)該同時(shí)使用小寫(xiě)和大寫(xiě)字母���,數(shù)字和特殊字符����。這確保攻擊者在暴力破解密碼時(shí)必須通過(guò)更多數(shù)量的組合才能成功。
密碼歷史:保存并使用密碼的歷史版本�,這讓系統(tǒng)能夠比較當(dāng)前密碼與歷史密碼并確定有些密碼是否會(huì)過(guò)于相似。如果過(guò)于相似的話�,應(yīng)該拒絕本次密碼更改。
我們的日常生活中有那么多使用和管理的密碼�����,要全部記住這些密碼幾乎是不可能的����。人類不擅長(zhǎng)記住一大組的隨機(jī)密碼,而只能回憶起少數(shù)幾個(gè)�。這就是為什么我們必須尋找一個(gè)替代的解決方案,如密碼管理器��。
密碼管理器是運(yùn)行在一個(gè)系統(tǒng)上的程序���,負(fù)責(zé)將所有的密碼加密并存儲(chǔ)到硬盤(pán)上����。每當(dāng)用戶希望獲取密碼時(shí)����,他/她必須提供主密鑰��,所有其他密碼都是通過(guò)該主密鑰進(jìn)行加密的����。這允許用戶可以獲得一個(gè)我們可以用來(lái)登錄云服務(wù)的密碼的明文版本����。通常,該密碼存儲(chǔ)在剪貼板里��,可以被復(fù)制粘貼到密碼的輸入框中�����。有很多作為獨(dú)立的程序來(lái)使用的針對(duì)不同操作系統(tǒng)的密碼管理器����。一些密碼管理器也會(huì)以不同的Web瀏覽器插件的形式出現(xiàn)。一些開(kāi)源的密碼管理包括Gpass��、KeePass�、LastPass����、Revelation�����、Gorilla����、KeePassX和Pass�。
每個(gè)人每天都必須使用和管理許多的密碼。許多這些密碼都是用于云服務(wù)認(rèn)證��,這使得它們對(duì)于云安全來(lái)說(shuō)非常重要���。為了恰當(dāng)?shù)谋Wo(hù)自己不使用不安全的密碼����,我們必須選擇強(qiáng)的長(zhǎng)的和隨機(jī)的密碼����,并且應(yīng)存放到密碼管理器中。
通過(guò)使用密碼管理器���,我們可以遵照最佳的安全指導(dǎo)準(zhǔn)則來(lái)創(chuàng)建各種強(qiáng)密碼�����,而無(wú)需記住所有這些密碼�。密碼管理器需要一個(gè)主密碼來(lái)解密其他的密碼,以獲得云服務(wù)的認(rèn)證�����。因此��,我們只需要記住一個(gè)主密碼從而可以獲得對(duì)剩下的密碼的訪問(wèn)�����。通過(guò)使用密碼管理器����,我們不必記住密碼管理器中的任何密碼,但仍可以享受密碼的安全益處�。
|
