口令,上网“透明人的第一层安全屏障,你值得了解的网络安全知识
【秦安点评】有一个比喻,说网络时代上网者都是透明人,那“口令”就是第一层“遮羞布”。因此,尽管文章稍微有点长,但依然建议你全文阅读,原因在于我们上网的第一道安全屏障就是极容易被盗窃的“口令”。网络时代,几乎每个人越来越离不开“口令”,开机密码、银行卡、邮箱密码、文件加密密码,都属于文章所讲的“口令。而我们习惯于用生日、纪念日等特殊数字作为口令,且一般都长时间保持不变,事实上隐含着被转账、被控制的重大风险。文章提出如何保护口令安全的15个办法,是专家专业性建议,有助于我们保障安全、踏实上网。
2020年5月7日,是第八个世界口令日。该节日由Intel公司于2013年首次创立,选在每年5月的第一个星期四,其目的是警示公众使用弱口令的危害并倡导使用强的口令。本周早些时候,英国国家网络安全中心(NCSC)和美国国土安全部(DHS)网络安全与基础设施安全局(CISA)发布了一份安全警示,着重强调了COVID-19危机正日益增加人们对遵循良好的口令安全规范的重视。该通报指出,在COVID-19期间,高级持续威胁(APT)团体对医疗机构和研究组织进行了大规模的“口令喷洒”攻击。当前在全球新冠病毒大流行之际,居家办公的员工空前增多,口令安全问题显得尤为重要。LastPass的最新调查表明,口令安全方面的松懈程度越来越高。人们平均拥有38个在线帐户,53%的用户在过去12个月内没有修改过帐户口令,42%的用户选择使用好记的口令而不是安全的口令,66%的用户使用相同的口令。
知名机构SANS今年给出的建议是不必担心复杂度,重要的是长度;不同的账户使用不同的口令;使用口令管理器;尽可能使用多因素认证。其实产品、服务提供者完全可以引入口令质量核查机制,限制用户弱口令的生成和使用。弱口令大致可以分为两类,一类是缺省型/默认型弱口令,如系统的弱口令、应用的弱口令、设备的弱口令等等;另一类是社会工程学意义上的弱口令,生日、电话号码、单词、姓名、有规律的字符组合等等。弱口令的危害无需多言,但在接二连三地充当了数据泄露的罪魁祸首之后,弱口令仍然神一样的存在。特别在一些隔离网络内,使用默认口令和把口令写入纯文本文件,非常普遍。比如工业生产网络,这种状况更加触目惊心。简单、好记、复用,同样给攻击者或恶意内部人员打开了方便之门。用户必须谨记,攻击者永远比你更加了解你的口令使用心理。
认知和行为不对等——2020年会是行为改变的转折点吗
口令管理公司LastPass发布的《口令心理学》报告调查了全球3250名受访者的网络安全行为。该报告表明,人们并没有保护自己免受网络安全风险的影响,尽管人们知道自己应该这样做。
报告结果显示,53%的受访者在过去一年内没有修改过口令,尽管他们听过关于泄露的新闻。42%的受访者表示使用容易记住的口令比使用非常安全的口令更重要。
随着越来越多的人在网上工作和社交,保护数字身份比以往任何时候都重要。不幸的是,研究人员发现黑客攻击数量激增,包括来自未经加密的软件下载的恶意软件和越来越多的网络钓鱼攻击。2020年会成为人们对在线数据表现出更多关注的转折点吗?
人们知道正确的做法,然而却做相反的事情
根据调查显示,大多数人认为他们了解口令安全性差的风险。然而,人们并没有利用这些知识来保护自己免受网络威胁。
91%的人知道使用相同或相似的口令是有风险的,然而,66%的人在创建口令时总是会使用相同或相似的口令,该数字比2018年的调查结果高出了8%。
80%的人担心他们的口令会泄露,然而48%的人表示如果非必须,他们永远不会更改口令,该数字比2018年高出了40%。
77%的人表示他们知道保护口令的最佳做法,然而54%的人通过记忆来记住口令。
不要低估风险
虽然调查中显示出的知行矛盾令人担忧,但该结果表明,人们认为他们了解口令安全。为什么不利用这些知识来保护自己呢?
很多人不知道他们的生活有多少是在线上的。当被问及有多少个在线账户时,71%的受访者认为有1-20个。然而,根据匿名LastPass用户数据显示,LastPass个人用户平均拥有约38个在线账户,几乎是调查对象认为的两倍。
每个在线账户都是一个可以被攻破的漏洞点,黑客可以利用账户作为攻击的入口点。随着社交和在线工作成为新常态时,这种在线账户的数量只会上升。
同时,人们也低估了他们的信息的价值。42%的受访者认为他们的账户没有价值,不值得黑客花时间。虽然你的信用卡卡号在暗网上只能卖5美元,但是黑客一次会窃取几十万条的数据,这个数字加起来就大了。然后会黑客利用从网站上窃取的信息访问更重要的网站,比如银行。所以,别放松警惕。
对控制的需求正置你于危险之中
口令的重复使用是调查对象犯下的最大口令安全错误。当被问及他们使用同一口令或不同口令的频率时,66%的人表示经常或总是使用相同的口令,该结果比2018年的数据高出8%。
2018年以后有没有变化呢?认知和行为的不匹配仍然是当前趋势,受访者在认知上知道他们应该做什么,但是并没有采取行动。为什么?
人们对弱口令带来的威胁麻木了。生物识别等技术使人们更容易避免使用同一文本口令,同时许多人在账户被锁定时,直接使用“忘记口令”链接。
2018年,当被问及为何使用相同的口令时,60%的受访者表示害怕忘记登录信息,52%的受访者表示希望控制所有口令。
这种对口令的控制是可以理解的,但是并不正确。虽然所有口令都设置相同可能会感到安全,然而重复使用口令比为每个帐户创建唯一口令的风险要大得多。
同时,期望记住所有账户的口令是行不通的。25%的人一个月至少重设一次口令因为忘记了口令。并且为了要记住口令,口令设置的就不够复杂,很容易就能被破解。22%的人认为他们可以猜测出其他人的口令。
在所有或大部分账户中重复使用相同的口令意味着,如果黑客获得了一个账户的访问权,就可以访问所有账户。此外,如果你在家和工作中使用相同的口令,该行为会使企业面临被破解的风险。
如何保护账户
除了创建强大、唯一的口令,这是必不可少的第一步,还有其他工具可以用来保护在线账户。
多因素身份验证(MFA)是一个额外的安全层,可以很容易地添加。好消息是,MFA得到了广泛的认识和使用。只有19%的调查受访者表示他们不知道MFA是什么。54%的受访者表示他们使用MFA于个人账户,37%的人在工作中使用它。
多因素认证是一种工具,要求使用者不能仅仅使用用户名和口令就能登录到账户。输入用户名和口令后,还需要第二个认证信息,如一次性验证码或指纹。
受访者对生物识别技术也很满意,即使用指纹或刷脸登录到设备或账户。65%的人表示,与传统的文本口令相比,他们更相信指纹或面部识别。这种生物识别技术的舒适性很可能是由于在移动设备上的频繁使用。
对电子邮件及财务账户保持警惕
受访者承认电子邮件和金融账户需要额外的保护,这是一种聪明的本能。电子邮件地址是线上生活的核心,通常包含黑客可以用来窃取身份和访问其他账户的信息。金融账户显然是至关重要的,因为该账户提供了对资金、信用信息和其他敏感数据的访问。
69%的受访者表示会对财务账户创建强口令,47%的人表示会对电子邮箱使用强口令,该数据其次分别为医疗记录(31%)及工作相关账户(29%)。当问及何时会使用多因素验证,62%的受访者表示会对财务账户使用多因素认证,45%的人表示会对电子邮件启用多因素认证。该数据其次分别为医疗记录(34%)及工作相关账户(22%)。
人们逐渐意识到保护电子邮件账户和财务数据很重要是令人欣慰的,然而人们需要将这些保护扩展到所有账户。受访者对工作账户的保护比率低于个人账户。人们对个人数据的安全保护行为是有缺陷的,这些坏习惯会延伸到工作中。
区域概况
德国已意识到该风险。
虽然GDPR强调了数据隐私保护不力的风险,但并没有鼓励正确的行为。
- 94%知道使用相同或相似口令的风险,30%使用1或2个相似的口令,另外30%不担心口令泄露。
巴西表现出了希望。
等待状态的LGPD法规将提高在线警惕。
- 94%的巴西人担心他们的口令,64.8%的人认为他们的账户对黑客很有价值;
- 与传统口令相比,78%的人更信任生物识别技术,MFA可能是他们需要的额外安全层。
新加坡以身作则。
考虑到对创造和维持充满活力的数字经济的关注,88%的人知道使用相同或相似的口令存在风险。
- 40%为他们的工作账户创建更强大、更复杂的口令;
- MFA在工作和个人账户中被积极使用,分别为58%和70%。
英国拥有最多的在线账户。
即使NCSC在有意识提高人们对在线活动的最佳实践,然而也有58%的人即使在看到了泄露的新闻后也没有更改口令。
- 92%的人知道使用相同或相似的口令是有风险的,但是仍然这么做;
- 64%的人因为害怕忘记口令而重复使用口令。
澳大利亚有最多的工作与个人账户重叠。
根据NDB报告的详细数据,80%的人认为自己很了解口令安全的最佳实践,然而:
- 只有18%的人为他们的工作账户创建一个复杂的、唯一的口令,36%的工作口令和个人口令没有区别;
- 虽然90%的人知道这是一种风险,但69%的人经常使用相同或相似的口令。
美国的口令行为较差,但MFA使用较强。
60%的人害怕忘记他们的登录信息,因此33%的人会把它们写下来;- 相比传统的文本口令,67%的人更信任生物特征识别;
- 42%的人将MFA用于工作账户,58%的人将MFA用于个人账户,这是除新加坡以外所有地区中最高的。
如何保护口令安全
01、使用口令管理器记住并填写口令
人们想要进行控制,但为每个账户创建唯一的强口令并将其存储在加密的保险库中会更安全。这样就不再有需要记住口令的压力,口令会被安全地储存起来,以备需要的时候使用。
02、使用多因素身份验证
从最基本的和最常用的账户开始,比如电子邮件、银行、信用卡、税务、社交媒体。然后,每次注册一个新账户时,检查是否提供MFA,如果提供,就启用它。
03、监控数据
无论是通过信用卡或银行使用信用监控,还是启用暗网监控服务,请确保你知道信息何时被泄露。
口令管理最佳实践
01、创建一个强而长的口令
强大的口令使得黑客破解和侵入系统的难度大大增加。强口令长度超过8个字符,由大小写字母、数字和符号组成。
美国国家标准技术研究所(NIST)建议创建容易记忆、难以破解的长口令。根据特别出版物800-63《数字身份指南》,最佳做法是生成最多64个字符的口令,包括空格。
02、启用口令加密
即使口令被网络罪犯窃取,加密也可以提供额外的保护。最佳做法是考虑不可逆的端到端加密。通过这种方式,你可以在网络上传输时保护口令。
03、使用多因素身份验证
多因素身份验证已迅速成为管理对组织资源的访问的标准。除了用户名和口令等传统凭证外,用户还必须通过发送到移动设备的一次性代码或使用个性化的USB令牌来确认其身份。其思想是,通过双因素(或多因素)身份验证,仅猜测或破解口令不足以使攻击者获得访问权限。
04、添加高级身份验证方法
应用基于非口令的高级方法。例如,作为多因素身份验证的一部分,用户可以利用生物特征验证,如使用带有Touch ID的指纹登录iPhone,或通过Windows Hello面部识别功能在Windows 10 PC上进行身份验证。该方法允许系统通过识别员工的面部、指纹、声音、虹膜或心跳来识别他们。
05、测试口令
通过在线工具测试口令,以确保口令的强度。Microsoft的安全中心有一个口令测试工具,可以帮助你生成不太可能被黑客攻击的口令。
06、不要用字典里的单词
老练的黑客拥有可搜索成千上万个词典单词的程序。避免使用字典中的单词,以防止成为字典攻击程序的受害者。
07、每个账户使用不同的口令
否则,如果一个账户被入侵,则具有相同凭据的其他账户可以很容易地被入侵。
08、保护手机
现在,移动电话通常被用于开展业务、购物及其他活动,但也带来许多安全隐患。使用强口令、指纹或面部识别口令保护手机,以保护手机和其他移动设备免受黑客攻击。
09、避免定期更改个人口令
多年来,口令安全的一个普遍做法是强制用户每隔90天或180天定期更改口令。NIST的最新指导建议,不要对个人口令使用强制性的口令更改政策(请注意(此更新的指导不适用于特权凭证),原因之一是用户往往只是重复他们以前使用过的口令。你可以实施策略防止口令重复使用,但用户仍然会找到创造性的方法绕过它。频繁更改口令的另一个结果是,用户更有可能把口令写下来以便跟踪它们。因此,NIST的最佳做法是,仅在潜在威胁或妥协的情况下,才要求员工更改口令。
10、员工离职时更改口令
不幸的是,以前对公司不满的员工成为公司最大敌人的情况并不少见。在员工离职时更改口令,这样以前的员工就不会侵入你的商业账户,造成严重破坏。
11、保护特权用户的账户
特权用户账户的口令需要特殊保护,如通过特权访问管理软件。与个人口令不同,即使每次使用高度敏感的凭据,特权凭据也应定期更改。此外,为了进一步的安全措施,这些凭证应该被注入,而不是直接可见或为最终用户所知。
12、保持业务离线
不要把公司的重要安全信息公之于众,这样黑客就很容易窃取。此外,当你完成应用程序的使用后,请删除它们的所有权限。
13、避免存储口令
避免以数字或纸质形式存储口令,因为这些信息可能会被恶意用户窃取。
14、注意安全
不管你的口令有多强,你对安全有多谨慎,如果黑客的间谍程序监视你在键盘上输入的内容,口令就不是安全的。使用最新的反恶意软件和漏洞管理解决方案,使网络犯罪分子尽可能难以获得您的证书,这些解决方案使您能够加强系统的防御能力,以防止和缓解可能使入侵者进入或在您的环境中移动的弱点。
15、使用口令管理器
通过使用口令管理器,你只需记住一个口令,因为口令管理器会为不同账户存储甚至创建口令,登录时会自动登录。而且,由于许多使用中的口令管理器已在设备之间进行加密同步,因此可以随身携带口令,即使在手机上也可以。
通常,有两种主要类型的口令管理器:
- 个人口令管理器:管理个人用户/员工的口令,以访问各种应用程序和服务;
- 特权口令管理器:这些专门的企业解决方案通过集中的、企业范围的口令安全中保护和管理特权凭证。特权凭证是组织最敏感的机密,为用户帐户、应用程序和系统提供特权访问。这些通常与特权会话管理配对使用,并且是企业特权管理平台的核心组件(天地和兴工控安全研究院编译)。
评论