密码重用问题是滴答时间炸弹

尽管比尔盖茨在2004年预测了密码的消亡,但它们仍然非常使用。密码,如电子邮件,似乎未来证明;但它们也是许多网络安全问题的来源。这些问题的关键驱动程序是人类行为和方便的愿望,这导致跨多个帐户的密码重用。

2018年全局密码安全报告显示了一个惊人的50%的用户使用相同的密码,适用于他们的个人和工作账​​户。 2019年在线安全 民意调查 通过Google确定了65%的人使用相同的密码或所有帐户。这些统计数据验证了密码重用问题的幅度,组织需要采取行动来减轻随附的风险。

在2019年的前六个月,泄露的数据泄露 4.1亿录记录 并且,根据2018 verizon数据违约事件报告,受损密码负责81%的黑客相关的违规行为。 Akamai的最新数据指出,由于凭据填充攻击,企业平均损失400万美元,这是通过使用泄露和公开的密码和凭据执行的。组织不能忽视这种不断增长的问题,需要采取措施减轻风险 密码卫生较差.

人类在密码重用问题的中心

密码重用是一种可以理解的人类行为,但组织需要良好的密码卫生是优先事项,以确保密码在其安全姿势中的薄弱联系。每个用户,系统,应用程序,服务,路由器,交换机和IP摄像机都应具有唯一的强密码。

组织应该采取三个关键步骤来加强他们的防御:

1.防止使用弱,类似或旧密码

确保用户选择不容易受到任何字典攻击的强密码。重要的是,新密码与最后一个有显着不同,并且您禁止连续的相同角色太多。您还应该防止重用旧密码。模糊匹配是检测使用“糟糕”密码模式的关键工具,因为它检查了密码的多种变体(大写变体,反复密码等)

2.结束强制密码重置:他们不’t improve security

组织通过强制重置密码历史地解决了来自受损密码的威胁。但是,这项政策已被证明是无效的,因为它没有什么可以确保新密码强大并且尚未暴露。它还可以推动运营成本,对员工和用户生产力产生负面影响。 微软 NIST指导方针就是这种方法建议。

3.持续检查凭证

NIST 建议 公司验证密码是否在激活并在持续检查其状态之前不会受到损害。由于受损凭据的数量不断扩展,因此针对动态数据库而不是静态列表检查密码至关重要。如果检测到妥协,请在下次登录时执行密码重置或提示用户创建新密码至关重要。

密码在这里留下来,组织需要重新思考他们的密码硬化策略 进入未来十年。他们需要停止看它作为合规任务,并开始看它作为一层保护。通过遵守上述建议,组织可以减少密码卫生差的风险,包括 密码重用.

分享这个