password.jpg
我们常说的“密码”,在信息安全领域中实际上叫做“口令”(对应英文是password或passcode)。“密码”这个词来自于密码学,是
研究加密、解密的学问,最早可以追溯到古代军事领域对信息的保护,不夸张的说,密码学是信息安全的基石。
为了方便阅读,照顾大家的习惯,这里就用“密码”这个词。
密码安全是个老生常谈的话题,无论是个人还是企业的信息安全事件中,因密码导致的安全事件层出不穷。
其实密码安全问题不难解决,为什么还常出问题呢?有三方面原因:
第一,从个人角度看,弱密码很普遍。
用户怕麻烦不愿意设置复杂密码,因为一旦忘记密码要找回非常麻烦(实际上,强密码也可以很好记,先留个坑,以后写如何设好记又安全的密码),多数人也想当然认为安全问题不会发生在自己身上,即便是一些具备安全技能的系统管理员同样也常使用弱密码,不管你的系统通过了等保三级、四级,或是各种安全设备和加固措施一应俱全,黑客从弱密码这一点就能很容易的突破防线;
第二,从软件技术和产品设计角度看,相当多的软件系统在密码安全方面很欠缺。
比如密码不加密直接存到数据库、或只做标准Hash不加Salt保存、在网络上明文传输、缺少用户密码强度要求等;
第三,从黑客的角度看,针对密码的攻击和入侵方便快捷、容易得逞。
网络中有大量直接可用的工具和各种库,比如社工库、弱密码库、彩虹表(Rainbow Table)等等。
保障密码安全,需要把前面两个方面做好,第三个方面我们无法控制,但是做好前两个方面,就能给黑客提高破解密码的难度。
网友评论