网络安全提示：密码短语与密码

已发表: 2022-01-28

使用密码短语与密码相比有什么好处？

在过去几年中，尤其是在 2020 年和 2021 年，我们不得不习惯于网络攻击风险的增加，因为网络犯罪分子希望利用现代组织所采用的恐惧和缺乏业务安全性。

随着 2020 年网络攻击的急剧增加，我们看到了这种转变，据估计，仅在 2020 年的前六个月，被泄露的数据记录就比有记录以来的任何一年都多。

在 2020 年 2 月至 2020 年 5 月期间，由于犯罪分子试图利用 COVID-19 大流行产生的恐惧和不确定性，网络钓鱼电子邮件激增了 600% 以上。

这一趋势似乎在 2021 年和 2022 年一直保持不变，2021 年的零日漏洞攻击数量创下历史新高。

这种重新关注网络安全的结果使公司比以往任何时候都更加投资于保护他们的数据和资产。

人为错误和网络安全

人为错误是大多数成功的网络攻击尝试的关键因素。

网络犯罪分子玩的是平均法则游戏，他们会在没有保护自己的专业知识并且没有正确保护其设备的软件的情况下攻击那些迟早会攻击的人，从而促成了无数次攻击。

52% 的企业承认员工是他们在 IT 安全方面的最大弱点，他们缺乏安全意识知识会使企业 IT 安全面临风险。

当然，这并不意味着他们全权负责。决策者和高管有责任确保已采取每一项措施以确保获得最佳成功机会。

换句话说，企业不应该让自己的员工因证书政策不佳而失败。

密码短语与密码在哪里出现？嗯，这实际上很简单——对数据安全的最大威胁不是黑客，正如我们已经指出的，而是用户自己。

37% 的凭据盗窃漏洞使用被盗或弱凭据。

因此，考虑到所有这些，很明显，人为错误不仅是组织需要解决的大问题，而且弱凭据（密码）也是决定网络攻击是否会被击退的最大因素之一。

什么是密码？密码短语是由一个句子或单词组合组成的密码。

密码短语通常比普通密码更长、更复杂，从而提高了整体安全性。

虽然密码短语应该是用户可以记住的东西，但强烈建议不要使用常用短语。密码短语的示例可以是四个随机单词，例如“engineerworksharrisstudying”（工程师、作品、哈里斯、学习）。

虽然使用一系列随机单词作为凭证似乎违反直觉，但与密码相比，此类短语更容易记住，也更安全，密码通常通过数字、特殊字符以及大小写字母的混合来寻求安全性。

像这样的密码——例如，“GenIusc0de123！”——实际上更容易破解，同时用户更难记住。

useapassphrase.com 等网站可以帮助生成完全随机的密码。

密码短语比密码更安全吗？我们所处的时代，简单的密码不再保留它们曾经的安全性，这就是密码短语变得如此重要的原因。

密码短语的好处在于，它们使用户更容易产生熵和缺乏秩序——从而提高安全性——同时仍能创建令人难忘的凭证。

通过随机字符生成熵可能很困难，但这也使得对您发起网络攻击变得更加困难。

91% 的受访者了解跨多个帐户使用相同密码的风险，但仍有 59% 的人这样做。

一旦密码被破解，此信息可用于渗透具有相同或相似密码的其他帐户。

考虑密码短语与密码的最大因素仅仅是破解密码所需的时间。

黑客采用一种称为“蛮力”攻击的网络攻击形式，即自动程序一遍又一遍地重复密码组合，直到密码被破解。

超过 80% 的由黑客攻击引起的违规行为涉及暴力破解或使用丢失或被盗的凭据。

对于像这样的黑客攻击方法，密码的长度比其多样性更能决定其强度。

换句话说，带有大写首字母和末尾感叹号的密码并不像您想象的那么安全。

在 Hive Systems，他们创建了一个有用的图表，展示了各种类型的密码有多么强大，包括没有特殊字符的长密码和带有许多特殊字符的短密码。

Hive Systems 的发现与采用密码短语的建议完全一致。

例如，如果您看一下图表，您会注意到包含大写字母、小写字母、数字和特殊字符的短密码（七个单词）可以在大约 6 分钟内被破解。

现在将此与仅使用小写字母的密码进行比较，但密码是 14 个字符而不是 7 个字符——黑客破解这大约需要 51 年。

密码需要 6 分钟，而密码需要 51 年！

如果这还不足以让您坐下来注意您的企业的凭证政策，那么也许 FBI 的建议可能是关键。

在他们的Protected Voices计划的一段视频中，该计划旨在为各种职能的政治运动提供网络安全建议，强烈建议将密码短语作为官方政策实施，以提高其安全性并保护敏感数据。

通常要求密码包含大写字母、小写字母、数字和特殊字符。但是，美国国家标准与技术研究院 (NIST) 的最新指南建议，密码长度比复杂性更有益。 – FBI，受保护的声音：密码短语和多因素身份验证

订阅我们的博客，每月接收有关商业技术的见解，并及时了解营销、网络安全和其他技术新闻和趋势。