最近,黑客收集了屬於流行 VPN 服務用戶的超過 50 萬個登錄憑據。除了攻擊者的綽號“Orange”外,一無所知,黑客在獲取登錄憑據後不久就在暗網論壇上發布了所有這些信息。
雖然這只是最近的一次大洩密,但絕不是第一次或最後一次。根據該公司的信息,這些帳戶被認為是通過先前在 VPN 產品中發現的漏洞而被盜用的。
這起事件只是促使有安全意識的人轉向更高級的密碼安全工具的眾多事件之一。在此頁面上,我們將與您分享密碼安全的最佳技巧,並討論強密碼安全實踐的重要性。
為什麼密碼安全很重要?
如果有人獲得了您的密碼憑據並設法登錄到您的財務帳戶,他們可能會給您帶來嚴重的損失。此外,如果黑客設法竊取您與業務相關的密碼憑據,您可能會使整個公司面臨洩露重要信息的危險。
即使您在大公司或安全的聯邦組織工作,如果您的密碼和登錄憑據不合格,那麼該組織的安全措施再強大也無濟於事。嚴酷的事實是,如果不遵守推薦的密碼安全指南,任何人都可能遭到黑客攻擊。這不是會不會發生的問題,而是什麼時候發生的問題。
無論您遇到哪種類型的數據洩露,它們都有一些共同點。所有數據洩露都令人尷尬。此外,所有數據洩露通常也代價高昂。僅在 2022 年,黑客攻擊和密碼安全漏洞的估計總成本預計將使企業損失超過 22 萬億美元。
而且,當您考慮到絕大多數這些違規行為是由於人為錯誤而發生時,正確的密碼管理習慣的重要性就變得更加明顯。在這種情況下,每個人都是為了自己,您應該確保您擁有最佳的密碼安全實踐,以確保您寶貴信息的安全。這將我們帶到下一個關鍵主題。
密碼安全提示
如果您曾經在 Google 上搜索過“如何保護我的密碼”,您可能知道網上有多少無用的文章沒有提供任何有關如何保護您的密碼的寶貴建議。直截了當,我們總結了為您的帳戶增加額外安全性的最佳技巧。以下是如何以最有效的方式保護您的密碼:
一級密碼安全
你真的知道你的密碼有多安全嗎?無論您認為自己的密碼有多安全,您始終可以更好地保護它。而且,第一個也是最簡單的方法是啟用雙因素身份驗證 (2FA) 。簡而言之,雙因素身份驗證是驗證過程中的附加步驟,可為您的數據添加額外的安全層。
每次您嘗試從新設備訪問您的帳戶或個人資料時,除了您的初始登錄憑據外,您還必須使用輔助密鑰來驗證您的身份。沒有此輔助密鑰,任何人都無法訪問您的帳戶,即使他們獲得了您的真實登錄憑據。這就是為什麼您應該始終在可用時啟用 2FA 或 MFA(多因素身份驗證)。
2FA 和 MFA 最常見的示例是您通過短信或應用程序獲得的手機臨時密碼。也就是說,這仍然不是最安全的處理方式,因為熟練的黑客仍然有可能攔截這些消息和信號並進入您的帳戶。
使用 2FA 作為密碼安全密鑰的最佳方法是使用單獨的密碼驗證器應用程序。此類最著名的應用程序是 Google Authenticator。它安全、快速,適用於大多數主要服務和平台。
最後,請記住,這個額外的安全步驟確實有一些缺點。如果您不小心,您很容易被 2FA 系統鎖定,尤其是當您更改電話號碼或丟失設備時。以這種方式管理您的安全性當然具有挑戰性,但通過適當的組織和良好的密碼管理習慣,可以使用 2FA 確保您所有帳戶的安全。
二級密碼安全
如果您想比第一級更進一步並添加更強大的密碼安全規則,您應該確保所有密碼都符合NIST 密碼指南。簡而言之,強密碼示例應該:
- 長度至少為 16 個字符。
- 包括字母、數字和字符的組合。
- 不包括任何人都可以輕易找到的您的個人信息(地址、子女姓名、配偶、寵物)
- 沒有任何連續的數字或字母。
此外,您不得與任何人分享您的密碼、將它們寫下來或將它們列在您設備上的文件中。知道您的密碼憑據的人越多,這些信息落入壞人之手的可能性就越大。
更令人擔憂的是,最近的研究表明,將近一半的美國人使用只有八個或更少字符的弱密碼。這些遠不如兩倍或更多的密碼安全。
但是,如果您使用的密碼強度高且複雜,您不應該在任何地方寫下來,那麼您如何記住您使用的所有平台和服務的所有不同登錄憑據呢?幸運的是,所有這些都有一個簡單的解決方案,那就是使用密碼管理器。
這些漂亮的工具使您能夠在一個位置生成和存儲所有密碼。使用密碼管理器時,您無需記住所有密碼和登錄憑據,只需記住一個主密碼。密碼管理器有多種類型,但我們可以將它們分為三大類:基於瀏覽器的密碼管理器、基於雲的密碼管理器和基於桌面的密碼管理器。
當然,這提出了一個合理的問題——密碼管理器的安全性如何?您應該了解一些風險,最值得注意的是密碼管理器的性質要求所有數據都在一個地方。更重要的是,備份並不總是可行的,因此忘記您的主密碼可能會帶來問題。
考慮到所有這些,一個強大的密碼管理器是極其難以以任何方式妥協的。這是因為它們採用了強大的 AES 256 位加密和所謂的“零知識”技術。最關鍵的任務又落在你身上了,用戶。只要您創建了一個強大的主密碼,您的密碼管理器就幾乎無法入侵。
3 級密碼安全
如果您認為 2 級無法為您提供足夠的安全性,您可以設置更高級的安全措施。最突出的是,這包括讓您的所有帳戶和服務完全無密碼。
在過去的幾年裡,在 FIDO 聯盟的支持下,新的認證浪潮席捲了整個行業。 FIDO 支持廣泛的無密碼身份驗證技術,主要圍繞生物特徵識別。這包括指紋和虹膜掃描儀、語音和麵部識別。此外,FIDO 身份驗證還包括有效的現有解決方案,例如 USB 安全令牌、智能卡和 NFC。
FIDO2是最新的無密碼標準,它使用公鑰加密技術來保證安全便捷的身份驗證系統。為此,FIDO2 同時使用私鑰和公鑰。要設置和使用 FIDO2,您首先需要在支持此安全方法的網站上進行註冊。
FIDO2 在大多數主要服務中都有很好的代表,並得到谷歌、微軟、Facebook、Twitter、AWS 和其他頂級服務的支持。您可以從數十種兼容 FIDO2 的安全密鑰中進行選擇,其中許多都內置了對四大操作系統(Android、Windows、iOS 和 macOS)的支持。這使您可以在所有支持此類功能的設備上方便地使用生物識別身份驗證。
這種密碼安全性的主要缺點是它仍處於早期階段,這意味著它尚未普及到所有服務和平台。除了行業內的主要科技公司外,目前還沒有多少小型平台和站點實施 FIDO2 標準。因此,就目前而言,您不能完全致力於級別 3 並完全無視基於密碼的身份驗證的使用。
輕鬆管理密碼
如果您想創建最安全的系統來管理您的密碼,但不喜歡我們上面討論的安全級別所涉及的方法帶來的麻煩,我們為您提供了一個簡單有效的解決方案。 Hideez Key 4彌合了基於密碼和無密碼身份驗證之間的差距。
使用此安全密鑰,您帳戶中的所有密碼都存儲在單獨的加密設備中。該設備本身受主密碼保護。 Hideez Key 通過藍牙連接到您的設備。只需單擊一下,它就會自動填充您的密碼,並生成符合 NIST 的強密碼或一次性密碼。此外,它具有接近身份驗證功能,因此當您靠近或離開時,您可以自動鎖定或解鎖您的 PC。
此外,它還用作 FIDO 安全密鑰。這意味著您可以自動無密碼訪問支持 FIDO 的網站和應用程序,因為密鑰本身會取代密碼。
最重要的是,Hideez Key 4 同時擁有 FIDO U2F 和 FIDO2 認證。您可以將它用於個人安全需求或在您的業務環境中保護燒焦的工作站和帳戶。如果您想了解更多信息,可以完全免費試用Hideez 身份驗證服務,或安排我們的一位安全專家進行演示。
