网络安全密码管理策略常见问题分析--完全依赖密码
1、原因:
密码应该是确认用户身份的好方法,其他人都在用它!
2、攻击:
即使用户执行上述所有操作使在线和离线攻击变得复杂,也无法阻止其他应用程序/网站执行不恰当的操作。用户经常在许多网站上使用相同的密码。攻击者经常试图从一个平台上的另一个平台上窃取密码。尝试。
此外,一些用户已经成为网络钓鱼攻击的受害者,因为他们选择了安全性较差的密码,而不考虑密码要求。
3、防御:
用户必须使用多因素身份验证登录。请记住多因素身份验证的重要性:至少使用两种不同的元素进行身份验证(通常是您所知道的,您所拥有的,生物特征等)。使用两个不同的密码(如密码+安全问题的答案)不是多因素身份验证。同时使用密码和动态密码是多因素身份验证。某些多因素身份验证机制比其他机制更安全(例如,基于SMS的一次性密码比加密设备更安全)。。在任何情况下,使用一种形式的多因素身份验证都比只依赖密码更安全。
如果验证只需要使用密码,则用户还必须执行设备验证类型,这可以通过设备/浏览器指纹识别来验证用户是否以异常的IP地址或类似方式登录。
网络安全密码管理策略常见问题分析,汇总
正如您所看到的,在处理用户密码时,您需要考虑很多事情。我们还没有讨论密码轮换策略、暂停帐户、恢复帐户、速度限制和防止反暴力攻击。
有一个重要的问题需要考虑。我可以将用户身份验证转发给其他人吗?如果你是一家金融机构,答案可能是否定的;如果您想向其他人展示最新的猫和宠物视频,则需要提前检查。如果您正在开发企业员工内部使用的应用程序,请考虑基于SAML的身份验证或LDAP集成。如果您正在开发面向公众的应用程序,Google、考虑社交登录,如Facebook等。许多社交网络都致力于保护身份验证机制,并为用户提供各种身份验证选项。
不必要的用户认证实施给公司和用户带来了问题,甚至是潜在的风险,建立安全的用户认证机制难度大、耗时长,但是你是想处理被盗的密码数据库,还是攻击者发现了认证机制的漏洞?用户需要做比记住其他密码更重要的事情!