都3202年了,不会还有人拿“123456”当密码吧?
问题的答案让人大跌眼镜。《2022年全球最常用密码》报告显示,“123456”仍旧是全球第二常用的密码。其它常用密码还有“password” “12345678”、“guest”“qwerty”等,都是“弱密码”界的老面孔。如果个人用户使用这些密码,可能导致个人信息泄露、账户被盗转盗刷。如果企业的服务器、业务应用使用它们,黑客可以轻松黑进企业内网,植入病毒木马,窃取机密信息,给企业造成难以估量的损失。
毫不夸张的说,弱密码一日不除,企业网络一日难安。那么问题来了,企业到底有没有办法彻底消灭弱密码呢?我知道你很急,但是你先别急,让我们慢慢说起~
首先,我们来明确一下弱密码的定义:弱密码,通常指容易被别人猜测到或被破解的密码。弱密码普遍具有以下特征:
3.多为简单的数字组合、帐号与数字组合、键盘上的临近键或常见姓名,例如“123456”、“qwerty”、“lucy”等;
4.默认密码,例如无线路由器常见的初始密码admin。
如果你用的密码不具备以上特征,也别高兴太早。2019年的一项针对中英文网民密码比较的研究表明,中文网民最常用的密码是生日和手机号。因为语言的原因,中国网民还喜欢用名字的全拼做密码。姓名全拼,手机号,姓名全拼+手机号,姓名全拼+生日,这些密码你是不是看起来很眼熟?
知道了是弱密码,改掉它不就好了吗?个人用户不受控,企业员工还不好管理吗?事情远远没有这么简单。我们不妨还原一下弱密码诞生的过程,了解一下各路人马的心路历程:
软件开发商:软件初始密码用我们品牌的全拼,反正客户肯定会改。
员工A:又有新业务系统上线了?就和邮箱用同一个密码吧,姓名+生日,要不记不住。
管理员C:只有我一个人登录后台,密码只有我知道,不改也没事。
总而言之,员工使用弱密码的理由可以归结为“好敲、好记、懒得改”。这种心理也决定了企业防范弱密码的措施(如限制密码长度,要求密码区大小写、添加符号,强制定期改密等等)往往效果不尽如人意。因为这些措施必然使员工的操作更加繁琐,让企业的安全性和员工的便利性产生对立,员工自然不爱买账。
弄清了弱密码为何屡禁不止,消灭弱密码的办法也就呼之欲出:既要简化员工的操作,又要提升密码的强度。
答案是肯定的。因为身份认证的凭据从来不止密码一种。我们每个人都是一座行走的“密码库”,每个人的“所知(我知道的你不知道)、所持(我持有的东西你没有)、所有(我的特征你没有)”,都可以作为身份认证的凭据。“所知、所有、所持”的涵盖范围极广,包括但不限于——
所知:密码,PIN码,共享密钥,与自身相关的信息;
所有:指纹、人脸,虹膜、声纹等生物特征,说话方式、走路方式、打字方式等行为识别。
当前广泛应用的密保问题(所知)、银行U盾(所持)、人脸识别(所有)、指纹识别(所有),都在安全性和便利性之间找到了平衡。企业如果能结合员工的“所知、所持、所有”进行身份认证,就有机会彻底消灭弱密码。
结合员工的“所知、所持、所有”进行身份认证,说起来容易,实现起来却并不简单,理念、技术、经验,缺一不可。芯盾时代用户身份和访问管理平台(IAM),基于零信任理念打造,采用增强型身份认证技术、连续自适应风险信任评估技术,帮助用户实现身份、认证、权限、审计的“四个统一”,实现更安全、更便捷的身份认证。
整合企业零散的组织用户数据,创建唯一用户身份标记,形成权威的组织用户体系,建立自动化流转的用户全生命周期管理机制,让员工使用一个账号登录多个业务应用,减少需要记录、使用的密码数量,实现“一个身份,访问全网”。
统一员工身份后,运维人员能够统一设置多个应用的访问权限,统一审计多个应用的访问日志,大幅减少运维量,提升工作效率。
为企业建设应用门户,统一业务应用的登录入口,并借助单点登录功能,让员工只需认证一次,就能登录所有权限内的业务应用,减少员工认证的次数,实现“一次认证,全网通行”。
为企业建立移动认证App,结合员工所知、所持、所有进行多因素身份认证,提供密码、App扫码、短信验证码、动态口令、指纹识别、人脸识别等多种认证方式,让员工在进行身份认证时少输密码、甚至不输密码,兼顾企业网络安全与员工操作便利。
为了让身份认证更加安全,芯盾时代自主研发了移动认证技术,通过对智能手机的唯一性识别,证书的安全生成、存储、调用,以及手机安全环境的检测,将智能手机打造成移动U盾,为身份认证营造安全的终端环境。
芯盾时代研发了智能终端密码模块,基于传统证书认证方式,结合分割密钥、设备指纹、白盒算法、环境清场等技术,为身份信息的安全存储提供了底层支持,保证员工身份信息更安全的传输、存储,即使员工信息被劫持、被泄露也难以被破译和篡改。
有了芯盾时代用户身份和访问管理平台(IAM),企业既能提升身份认证的安全性,又能简化员工的操作体验;既能简化管理、运维工作,又能让员工心甘情愿告别弱密码。
如果你的企业也为弱密码而头疼不已,赶紧把芯盾时代用户身份和访问管理平台(IAM)安排上。有了芯盾时代IAM,你的下一个密码,何必是密码~
