信息化觀察網(wǎng)

本文來自微信公眾號“嘶吼專業(yè)版”，作者/胡金魚。

密碼重復(fù)使用似乎是很多人的常用做法，但這種行為卻會對企業(yè)的網(wǎng)絡(luò)安全產(chǎn)生一定影響。當用戶在多個賬戶中重用密碼時，這便為黑客進行破壞創(chuàng)造了一個黃金機會。

企業(yè)可能有自己強有力的密碼策略，但如果重用密碼廣泛，可能會造成一種錯誤的安全感。

密碼重用如何造成破壞

假設(shè)每一個終端用戶都被提示創(chuàng)建一個由隨機字母組成的多個字符的密碼短語，那可以對照最常用的密碼列表進行檢查。從表面上看活動目錄的密碼安全性很強，但當用戶在不太安全的個人設(shè)備、網(wǎng)站或應(yīng)用程序上重用這個密碼時，危機就開始了。

黑客可能會在安全性差的情況下侵入網(wǎng)站的數(shù)據(jù)庫，并訪問每個用戶的密碼。從那里，他們可以試圖找出個人在哪里就業(yè)，并查閱他們的工作帳戶。攻擊者還可以通過網(wǎng)絡(luò)釣魚等社會工程攻擊個人來獲得證書。

在密碼被泄露的情況下，黑客們使用自動化的工具系統(tǒng)地在各種網(wǎng)站和應(yīng)用程序中，包括那些與目標工作地點相關(guān)的網(wǎng)站和應(yīng)用程序，測試被盜的用戶名和密碼組合。這使企業(yè)電子郵件帳戶、內(nèi)部系統(tǒng)、文件存儲庫，甚至行政權(quán)限均處于危險之中。

一旦進入網(wǎng)絡(luò)，攻擊者可以橫向移動探索不同的系統(tǒng)，并升級他們的特權(quán)。攻擊者可以訪問敏感數(shù)據(jù)，破壞其他帳戶、安裝惡意軟件，或在網(wǎng)絡(luò)中發(fā)起進一步攻擊。他們可以過濾敏感數(shù)據(jù)、操縱或刪除信息、破壞業(yè)務(wù)，或扣留數(shù)據(jù)作為勒索籌碼。

為什么人們會重復(fù)使用密碼

密碼重用主要是為了方便。用戶傾向于選擇易于記住的密碼，并經(jīng)常在多個賬戶中循環(huán)使用，以避免管理眾多復(fù)雜密碼的麻煩。

當我們考慮到用戶在記住和管理多個密碼方面的負擔增加時，密碼重用的出現(xiàn)并不奇怪。人們被他們需要管理的帳戶和密碼的數(shù)量所淹沒，這種疲勞導致了密碼重用等捷徑。

即使最終用戶通過培訓意識到了風險，也常常會有一種“不會是我”的心態(tài)，最近的一項調(diào)查結(jié)果顯示，有84%的人在多個賬戶中使用相同的密碼。

改變這種行為需要的不僅僅是用戶教育和安全意識培訓，也需要技術(shù)支持。

解決密碼重用問題

解決密碼重用問題需要將用戶教育、技術(shù)解決方案和組織政策結(jié)合起來。要改變用戶行為，提高認識，并采用安全的身份驗證方法，以減少對密碼的依賴。

安全和方便之間有微妙的平衡。企業(yè)需要實施強有力的安全措施，以減少密碼重用，但還必須考慮用戶體驗，避免造成用戶負擔。

用戶教育和認識

定期舉辦網(wǎng)絡(luò)安全培訓班，以教育員工了解密碼重用的風險和設(shè)置強有力密碼的重要性。人們需要明白，即使是強大的、獨特的密碼，也會處于危險之中。

多因素認證

設(shè)置MFA作為額外的安全層。通過要求用戶提供多種形式的身份驗證，比如密碼和發(fā)送到他們的移動設(shè)備上的唯一代碼，黑客就很難破壞帳戶。不過，MFA不是絕對安全的。

密碼管理員

密碼管理器安全地存儲和生成不同帳戶的復(fù)雜密碼，要求用戶只記住一個主密碼。這消除了記住多個密碼的需要，并減少了重用密碼的誘惑。但如果最終用戶重用他們的主密碼，這將使他們的所有帳戶都處于風險之中。

連續(xù)加密密碼掃描

針對密碼重用的最好防御是實現(xiàn)一個解決方案，利用方案連續(xù)掃描活動目錄密碼和全面的數(shù)據(jù)庫受損害密碼，以便能夠?qū)崟r檢測到受損密碼，降低未經(jīng)授權(quán)訪問的風險，并對安全事件作出快速反應(yīng)。