常用网络密码安全防护措施

时间:
管理员
分享
标签: 安全防护 措施 常用 密码

管理员

摘要:

常用网络密码安全防护措施   今天,密码依然是许多组织整体网络安全防御中最薄弱的环节之一,同时也是最热门的攻击对象之一,下面是小编精心整理的常用网络密码安全防护措施,欢迎阅读,希望大家能够喜欢。  常用网络密码安全防护措施  1、使用复杂的密码  密码穷举对……

常用网络密码安全防护措施

  今天,密码依然是许多组织整体网络安全防御中最薄弱的环节之一,同时也是最热门的攻击对象之一,下面是小编精心整理的常用网络密码安全防护措施,欢迎阅读,希望大家能够喜欢。

  常用网络密码安全防护措施

  1、使用复杂的密码

  密码穷举对于简单的长度较少的密码非常有效,但是如果网络用户把密码设的较长一些而且没有明显规律特征(如用一些特殊字符和数字字母组合),那么穷举破解工具的破解过程就变得非常困难,破解者往往会对长时间的穷举失去耐性。通常认为,密码长度应该至少大于6位,最好大于8位,密码中最好包含字母数字和符号,不要使用纯数字的密码,不要使用常用英文单词的组合,不要使用自己的姓名做密码,不要使用生日做密码。

  2、使用软键盘

  对付击键记录,目前有一种比较普遍的方法就是通过软键盘输入。软键盘也叫虚拟键盘,用户在输入密码时,先打开软键盘,然后用鼠标选择相应的字母输入,这样就可以避免木马记录击键,另外,为了更进一步保护密码,用户还可以打乱输入密码的顺序。

  3、使用动态密码(一次性密码)

  动态密码(Dynamic Password)也称一次性密码,它指用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次。动态密码对于截屏破解非常有效,因为即使截屏破解了密码,也仅仅破解了一个密码,下一次登录不会使用这个密码。不过鉴于成本问题,目前大多数动态密码卡都是刮纸片的那种原始的密码卡,而不是真正意义上的一次性动态密码,其安全性还是难以保证。真正的动态密码锁采用一种称之为动态令牌的专用硬件,内置电源、密码生成芯片和显示屏。其中数字键用于输入用户PIN码,显示屏用于显示一次性密码。每次输入正确的PIN码,都可以得到一个当前可用的一次性动态密码。由于每次使用的密码必须由动态令牌来产生,而用户每次使用的密码都不相同,因此黑客很难计算出下一次出现的动态密码。不过真正的动态密码卡成本在100到200元左右,较高的成本限制了其大规模的使用。

  4、网络钓鱼的防范

  防范钓鱼网站方法的方法是,用户要提高警惕,不登录不熟悉的网站,不要打开陌生人的电子邮件, 安装杀毒软件并及时升级病毒知识库和操作系统补丁。使用安全的邮件系统,Gmail通常会自动将钓鱼邮件归为垃圾邮件,IE7和FireFox也有网页防钓鱼的功能,访问钓鱼网站会有提示信息。

  5、使用SSL防范Sniffer

  传统的网络服务程序,HTTP、FTP、SMTP、POP3和Telnet等在本质上都是不安全的,因为它们在网络上用明文传送口令和数据,嗅探器非常容易就可以截获这些口令和数据。对于Sniffer(嗅探器),我们可以采用会话加密的方案,把所有传输的数据进行加密,这样Sniffer即使嗅探到了数据,这些加密的数据也是难以解密还原的。目前广泛应用的是SSL(Secure Socket Layer)就可以方便安全的实现加密数据包传输,当用户输入口令时应该使用支持SSL协议的方式进行登录,例如HTTPS、SFTP、SSH而不是HTTP、FTP、POP、SMTP、TELNET等协议。Google的大多数服务包括Gmail都支持SSL,以防止Sniffer的监听,SSL的安全验证可以在不安全的网络中进行安全的通信。

  6、不要保存密码在本地

  将密码保存在本地是个不好的习惯,很多应用软件(例如某些FTP等)保存的密码并没有设计的非常安全。

  7、使用USB Key

  USB Key是一种USB接口的硬件设备。它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中,理论上使用任何方式都无法读取,因此保证了用户认证的安全性。由于USB Key的安全度较高,且成本只有几十元,因此USB Key广泛应用于网上银行的数字证书加密。使用USB Key后,即使黑客完全远程控制了用户的电脑,也无法成功进行登录认证交易。

  8、个人密码管理

  要保持严格的密码管理观念,实施定期更换密码,可每月或每季更换一次。永远不要将密码写在纸上,不要使用容易被别人猜到的密码。对于大量的网络服务密码,建议使用一个安全的密码管理软件进行管理。

  9、密码分级

  对于不同的网络系统使用不同的密码,对于重要的系统使用更为安全的密码。绝对不要所有系统使用同一个密码。对于那些偶尔登录的论坛,可以设置简单的密码;对于重要的信息、电子邮件、网上银行之类,必需设置为复杂的密码。永远也不要把论坛、电子邮箱和银行账户设置成同一个密码。

  10、生物特征识别

  生物特征识别技术指通过计算机,利用人体所固有的生理特征或行为特征来进行个人身份鉴定。常用的生物特征包括:指纹、掌纹、虹膜、声音、笔迹、脸像等。 生物特征识别是一种简单可靠的生物密码技术,生物识别技术认定的是人本身,由于每个人的生物特征具有与其他人不同的惟一性,以及在一定时期内不变的稳定性,不易被伪造和假冒,因此,可以在最大限度地保证个人资料的安全。目前人体特征识别技术市场上占有率最高的是指纹机和手形机,这两种识别方式也是目前技术发展中最成熟的。

  扩展:十大密码攻击及缓解措施

  1、暴力攻击

  暴力攻击指黑客使用大量常见或泄露密码进行大量访问尝试的简单粗暴的密码攻击。即使是使用当今的高性能CPU能力的“游戏PC”级的计算机也可以每秒“猜测”数十亿个密码。

  缓解措施:

  帐户锁定、密码长度要求(长度超过20个字符)、阻止使用增量密码和常见组合,以及泄露密码防护、自定义字典和MFA(多因素认证)。

  2、字典攻击

  字典攻击是暴力攻击的一种,在破解密钥时,逐一尝试用户自定义词典中的可能密码(单词或短语)的攻击方式。与暴力破解的区别是,暴力破解会逐一尝试所有可能的组合密码,而字典式攻击会使用一个预先定义好的单词列表(可能的密码)。

  缓解措施:

  密码长度/密码超过20个字符,阻止增量/常见模式密码,泄露密码防护,自定义字典,MFA。

  3、密码喷洒

  穷举攻击是固定好用户名,利用多个密码尝试验证。与穷举攻击相反,密码喷洒攻击是固定好密码,尝试多个用户名进行验证。密码喷洒使用一个或数个通用密码“碰撞”许多不同的帐户,这种方法可以避免(多次密码尝试后的)帐户锁定阈值,许多组织将账户密码的错误尝试次数限制在3到5次。

  通过每次只尝试少于锁定阈值的一个密码,攻击者可以在整个组织中尝试多个密码,而不会被Active Directory中的默认保护机制阻止。密码喷洒攻击者通常会选择最终用户常用的密码、或使用已在网上泄露的密码。

  缓解措施:

  密码长度超过20个字符,阻止增量/常见模式弱密码,泄露密码防护,自定义字典,MFA。

  4、凭证填充(撞库)

  凭证填充(Credential Stuffing)是一种自动黑客攻击,也就是我们习惯称的“撞库”,利用从一项服务数据泄露中获得的登录凭据尝试登录到另一个不相关的服务。凭借高达2%的成功率,凭证填充自动程序占全球需多大型网站所有登录流量的90%以上,并且产生大量二手数据泄露。

  缓解措施:

  阻止增量/常见模式弱密码、泄露密码防护/自定义字典、MFA、帐户锁定

  5、网络钓鱼

  网络钓鱼是一种古老的攻击,已经有几十年历史,但至今仍然非常有效,非常主流。网络钓鱼攻击通过欺诈手段操纵人们执行操作或泄露机密信息,通常通过电子邮件进行实施。例如,攻击者伪装成合法组织或服务,以诱使用户泄露帐户信息。

  最常见的网络钓鱼策略是“紧急恐吓”,钓鱼电子邮件中可能包含诸如“紧急,您的帐户已被黑客入侵”之类的措辞。攻击者利用最终用户的恐慌情绪,让用户在“保护信息”时泄露信息。

  缓解措施:

  网络安全意识培训、MFA、配置电子邮件横幅、邮件服务器配置(DKIM、SPF等)

  6、键盘记录器攻击

  键盘记录器攻击用于记录用户在键盘上输入的敏感信息,例如帐户信息。键盘攻击涉及软件和硬件。例如,间谍软件可以记录键盘敲击以窃取各种敏感数据,从密码到信用卡号码。如果攻击者可以物理访问最终用户的计算机,则可以将物理硬件设备与键盘关联以记录输入的击键。

  缓解措施:

  安全意识培训、最新的恶意软件保护、恶意URL保护、MFA、阻止未知USB设备、密码管理器、对关键业务环境的安全物理访问。

  7、社会工程攻击

  社会工程包括一系列恶意活动,以操纵人们执行操作或泄露机密信息,包括网络钓鱼、语音钓鱼、社交媒体、诱饵和跟踪等。例如,网络钓鱼攻击是一种社会工程攻击形式,攻击者会诱骗您向他们提供敏感信息,例如密码、银行信息或对您的计算机或移动设备的控制权。

  缓解措施:

  安全意识培训、安全的MFA方法(例如不使用安全问题)

  8、密码重置

  密码重置攻击是一种经典的社会工程攻击技术,攻击者假冒受害者致电服务台请求重置密码。黑客只需要说服服务台工作人员向他们提供新密码,而不是试图猜测或破解它。大型企业的服务台员工可能并不认识所有员工,因此尤其危险。疫情期间随着更多员工转向混合或完全远程工作模式,重置攻击也变得越来越普遍——因为验证最终用户并不像亲自打招呼那么简单。多项研究表明,密码重置中间人攻击非常简单有效。

  缓解措施:

  服务台的验证/MFA、安全意识培训、使用MFA的自助密码重置(SSPR)

  9、物理盗窃

  写下密码是一种常见且非常危险的活动。贴在显示器上的“写有主密码的便利贴”很容易成为一次重大数据泄露事件的诱因。在密码管理中强制执行复杂性要求可能会导致用户将其写下来。对于少量需要记忆的密码,可选择使用密码短语组合的方式。如果您的最终用户正在为关键业务系统使用多个密码,请使用密码管理器。总之,显示器或桌子上的“物理密码”是大忌。

  缓解措施:

  安全意识培训、使用密码短语和密码管理器

  10、密码重用

  密码重用是数据泄露的主要原因之一。研究发现,超过70%的员工在工作中重复使用密码。在个人和公司帐户之间共享密码会使您的网络容易受到帐户攻击。如果您注册的爱好者论坛被黑客入侵,并且您在公司帐户中使用相同的密码,您的密码最终会出现在暗网上,公司系统也因此变得脆弱。

  缓解措施:

  安全意识培训、密码短语、密码管理器、泄露密码防护、自定义字典、阻止增量、日常模式密码。