当用户注册某平台账户时,平台对密码设置都会有所要求,如“密码长度需大于8个字符,且要包含数字和英文字母”等。为了保障账户安全,企业和平台都鼓励用户设置长且复杂的密码,并定期更新。
有机构统计,在当前环境下,用户大概需要设置多达100个密码,包括一些离线密码。但实际上,用户最多只会记住5个,且还是采取了一些便捷形式创建的密码,然后在各平台之间重复使用。比如,用户会用数字和特殊字符替换字母,“password”变成“P4??WØrd”(还是很容易破解的)。
那么,在提高密码安全性的同时,企业如何制定强大且友好的密码策略呢?
1、停止不必要的复杂密码组合规则
不再强制设置任何过于复杂的组合规则,如要求设置包含大小写字符、至少一个数字和一个特殊字符。在一定程度上,这样的规则很少会提高密码设置的强度,只会让用户设置的更加可预测,并给自己想出个“双重打击”的密码——既弱又难以记忆。
2、切换到密码短语
与其使用短而难记的密码,不如采用密码短语。密码短语更长,更复杂,但容易记住。如,它可能是一个完整的句子,其中包含大写字母、特殊字符和表情符号。虽然不是很复杂,但自动化工具仍需要时间才能破解。
以往设置密码的要求是,最小长度为8个字符,由大小写字母、符号和数字组成,但根据Hive Systems在4月运行的测试得出,自动密码破解工具可以在几分钟内猜出这样的密码,特别是当它使用MD5哈希函数进行保护。相反,仅包含大小写字母但长度为18个字符的简单密码则需要更长的时间才能破解。
数据来源:Hive Systems
3、密码设置最小长度为12个字符
长度是密码强度的关键因素。将密码设置在最小12字符,最多64个字符,且包括多个空格(在一切相等的情况下,密码越长越好)。
4、启用各种字符
当用户设置密码时,应该可自由选择所有可打印的ASCII和UNICODE字符,包括表情符号。同时,空格也应可以选择使用,因为其是密码短语的自然组成部分,通常被推荐作为传统密码的替代方案。
5、限制密码重复使用
当下,用户普遍认识到,在不同的平台账户之间不要重复使用密码,因为一个账户的泄露很容易导致其他账户也受损。
但习惯还是很难改变,有数据显示,在受采访的人群中,有一半人表示在他们的企业/或个人账户中平均重复使用5个密码。
6、不要为密码设置“使用日期”
除非用户要求或有泄露证据,不建议要求用户定期更改密码。理由是用户没有多少耐心来不断思考新的、强大的密码。因此,定期更改密码可能弊大于利。
但是必须强调的是,对于保密行业和企业的重要业务,其本身就是不法分子觊觎的目标,组织单位仍然要强制员工定期更改密码。
7、放弃提示和基于知识的认证
密码提示和基于知识的验证问题已经过时。尽管可以帮助用户找回密码,但同时对攻击者也具有很大价值。如,类似“你第一只宠物的名字”这样的问题,只要通过一点调查和社会工程学就可以轻松猜到。
8、列出常用密码黑名单
与其依赖以往使用的组成规则,不如将新密码与“黑名单”中最常用或曾被泄露的密码进行比对,并将匹配尝试评估为不可接受。
2019年,微软扫描了其用户账户,将用户名和密码与一个包含超过30亿组泄露凭据的数据库进行比对,发现有4400万位用户的密码有泄露风险后,强制用户重置密码。
9、为密码管理器和工具提供支持
允许“复制和粘贴”功能、浏览器密码工具和外部密码管理器来处理创建和保存用户密码的麻烦。
用户还应可以选择临时查看整个屏蔽密码或密码的最后一个键入字符,这样可提高凭据输入的可用性,特别是在使用更长的密码,口令和密码管理器的情况下。
10、为初始密码设置短期限
当新员工建立账户时,系统生成的初始密码或激活码应是安全的、随机生成的、长度至少为6个字符,且可能包含字母和数字。
确保该密码在短时间内过期,且不能成为长期密码。
11、发送密码更改的信息
当用户更改密码时,应要求他们首先输入旧密码,并在可能的情况下启用双因素身份验证(2FA)。完成后,给用户发送更改通知。
12、小心密码恢复过程
恢复过程不仅不应显示当前密码,而且同样适用于有关帐户是否实际存在的信息。换句话说,不要向攻击者提供任何(不必要)的信息!
13、使用验证码和其他反自动化控制
使用反自动化控制来减轻泄露的凭据测试、暴力破解和账户锁定攻击。这些控制包括阻止最常见的泄露密码、软锁定、速率限制、验证码、不断增加的尝试延迟、IP 地址限制或基于风险的限制,例如位置、首次登录设备、最近尝试解锁账户等。
14、不要仅依赖密码
无论密码有多么强大和独特,它仍然是一道隔离攻击者和用户敏感数据之间的单一屏障。在瞄准安全账户时,也应将额外的身份验证层视为绝对必要。这也是为什么企业应该尽可能使用双因素(2FA)或多因素身份验证(MFA)的原因。
然而,并非所有双因素(2FA)身份验证都是同等安全的,如短信验证码,其实也容易受到威胁。更安全的替代方案包括使用专用硬件设备和基于软件的一次性密码(OTP)生成器,例如安装在移动设备上的安全应用程序。
题外话
初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:
2023届全国高校毕业生预计达到1158万人,就业形势严峻;
国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。
一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。
6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。
具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。
网络安全行业特点
1、就业薪资非常高,涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2、人才缺口大,就业机会多
2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全该如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料
7025
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
