密码保护和数据安全

密码保护和数据安全

可能你听说过2020年公开的32.7亿封电子邮件和密码组合，但还有最糟糕的情况，任何人都可以花2元下载一次。

你可能会认为这是所谓的“多次违约汇编”（COMB）泄漏中最可怕的部分，但事实并非如此。

这种漏洞最可怕、最可预防的部分是，人们重复使用自己的密码，而网络犯罪分子知道这一点。

简言之，这是一种暴力攻击，使用COMB等列表中的凭据来解锁帐户，最有可能使用123456或“qwert12345”（如果您是中国人）等弱而常见的密码。

是否有比COMB更好的理由停止为多个设备、应用程序和网站重复使用密码？仅凭这一点就可以做到，但如果你需要更多的理由，那么理由就很多了。

不可否认，要记住12到15条信息是多么困难。我们在记忆手机号码的时候也不容易全部记住，毕竟我国的手机号码大多数都是11位长度。

虽然我们每个人都有责任实施密码最佳实践，但COMB攻击告诉我们，个人密码保护是不够的。云提供商还负责保护委托给他们的数据，比如使用复杂的安全方法来保护访问。、

无论如何，使用强密码的用户验证更有效，所以这里有一些关于保持密码保密和数据安全的提示。

什么是密码？

首先也是最重要的，密码是一个秘密认证器。关于增加密码的强度，有很多种方法。我们稍后再谈细节。

• 密码中使用的字母、数字和符号串不容易猜测或忘记。这比听起来更难实现，通常用户为了方便而选择简短、难忘的密码。

• 如果你想消除成为下一个证书填充受害者的可能性，以下是一些你不应该做的事情：

• 对多个在线帐户或网站使用相同的密码。

• 回收或循环使用密码。

将密码存储在任何人都可以访问的位置（例如，在一张纸上或作为浏览器中的自动填充设置）。

现实情况是，网络犯罪分子可以（而且已经）发布准确的电子邮件和密码组合，而让这些旧信息完全无用的最佳方法是永远不要再使用这些密码。（此外，不要在“Password1”末尾添加“2”。你不是在愚弄任何人。）

强密码如何帮助保持数据安全？

你应该知道，用电子邮件和密码验证数字身份不像乘坐动车那样出示你的身份证扫描那么简单。而且，由于网络犯罪导致了类似COMB的列表，密码认证不再像以前那样安全。鉴于网络犯罪带来的安全风险，制定了新的身份验证指南，以帮助云提供商确保用户的真实性。

有三种类型的验证器

• 您知道的信息（例如密码）。

• 你有的东西（例如手机）。

• 你是什么（例如生物特征数据）。

云提供商或验证者可以使用不同的验证者组合，以实现不同级别的保证，最终有助于减少成功的网络安全攻击。认证器的不同组合创建了一个认证保证级别（AAL）。例如，当您登录时，云提供商可能会使用您的密码和验证器应用程序生成的代码的组合。

强密码对于每个身份验证级别都至关重要。每个AAL都依赖于一些只有你自己知道/拥有/很难估计的东西。网络犯罪分子只需要猜测一个重复使用的电子邮件和密码组合，就可以为您或您的企业制造一场代价高昂的混乱。

强密码的定义

通过密码长度来确定密码的强度，这听起来可能过于简单。在暴力攻击的情况下，在速率限制导致锁定之前，较短的密码太容易被破解。足够长的密码会减少凭证填充或拒绝服务攻击的成功。建议云提供商允许几乎任何长度的密码或密码短语，只要不需要过多的处理时间来散列即可。

您可能会认为，除了长密码之外，还有一个复杂的密码可以保护您，但NIST关注的是长度，而不是掩盖努力。密码破解工具已经将大小写变化和发音相似的字母等因素纳入其算法。NIST还建议，密码的复杂性不会阻碍记忆，这会破坏使用密码来验证您所知道的东西的目的。过于复杂的密码会导致人们写下密码或将其存储在不安全的地方，而不是忘记密码。当云提供商提供为用户创建密码的说明时，必须解决此漏洞。

另一种确保您使用强密码的方法是使用工具根据一组标准（如长度、字符类型、可读性等）随机生成密码。随机生成的密码更难进行暴力攻击或猜测。虽然有几个不同的地方可以找到随机密码生成器，但我们喜欢像BitWarden、1Password和LastPass这样的密码管理器，它们可以生成、组织和保护密码。

请记住，由于网络犯罪分子知道我们是习惯性的生物，被破坏的数据可以提供关于同一帐户或类似类型的旧密码的见解。不仅如此，有些事实是一成不变的。一个很好的例子是，你总是选择同一个挑战问题。如果这些数据被泄露，网络犯罪分子很可能知道；而且，你母亲的娘家姓不会改变。作为另一层，您可以使用随机生成的安全问题答案，就像使用随机生成密码一样，这意味着这些答案将无法重复使用（或很容易从愚蠢的Facebook测验中收集到）。

接下来，让我们了解如何防止网络犯罪分子猜测您的强密码。

如何创建强密码

现在，您可以利用密码生成器并将其保存到密码管理器中。然而，有时您需要提供一个强大的密码。

考虑使用12到15个字符的令人难忘的短语。一些令人难忘的短语的想法是使用歌词、诗歌或电影台词。

避免可预测性。此外，请避免使用敏感信息，如您孩子的出生日期或您的姓名或12345678。相信我，使用此类信息在世界范围内非常普遍。

另一种检查您是否使用了唯一密码的方法是筛选被破坏的数据记录。根据特洛伊·亨特的证词。com网站上，Qwerty密码被使用了71219次，然后我将其输入到“我已被编程密码API”中。亨特指出，NIST建议云提供商将用户生成的密码与不可接受的密码进行比较。阻止列表应该包含以前违规的密码和可预测的选项，其中包括服务名称，例如为Gmail帐户使用密码“G000gle”。

您还可以做什么来防止凭据填充攻击？

在对抗来自网络犯罪分子的暴力攻击中，用户在使用强密码保护数据方面发挥着关键作用，网络犯罪分子可以计算出荒谬的哈希值，而不受速率限制。

以下是保持数据安全的几种其他方法：

• 尽可能启用双因素验证。

• 使用基于时间的一次性密码（ToTP）验证应用程序。

好消息是，尽管网络犯罪分子变得更加巧妙，但新的创新工具已经被创造出来，使个人数据安全比以往任何时候都更容易。而且，作为数据书呆子，补天芯认真对待您的网络数据安全，并且硬盘数据恢复也会为数据安全提供最后一道保险。