在网络时代,用户在使用不同的网络服务或软件时需要注册和设置密码,密码安全已经成为用户普遍关心的问题。从企业的角度来看,制定网络安全密码管理策略并保护您的信息安全非常重要。
尽管认证技术已经成熟,但密码是保护最重要信息的最重要方法。密码是阻止潜在入侵者冒充其他用户的第一道防线,但这种保护往往很脆弱。用户通常希望创建一个易于记忆的密码,使用出生日期或纪念日,甚至使用它。开发人员希望最大限度地减少对密码管理策略的投资,最后,开发比密码管理和存储更有趣的新功能。
许多密码都是安全性差且易于猜测的,因此攻击者可以从中受益。在最坏的情况下,密码存储系统和我们信任的其他重要信息系统也面临许多安全问题。黑客反复试图窃取密码数据库,攻击者的合作伙伴经常破坏隐私模式。
让我们看一看公司网络安全密码管理策略中的常见错误。下面的讨论在线攻击和离线攻击。在线攻击是对应用程序登录页的攻击。攻击者试图猜测用户的密码。离线攻击是攻击者获取密码数据库副本并试图计算存储的用户密码的攻击。
网络安全密码管理策略常见问题分析--限制了用户可以使用的字符数或类型。
1、原因:
安全人员反复指示开发人员检查所有输入,以防止各种攻击,如注入攻击。因此,根据某些规则创建密码验证规则是一个好主意。是吧。
2、攻击:
限制密码字符数或类型的问题是减少密码总数。这使在线和离线攻击变得更加容易。知道密码只允许特殊字符时!和@,这表示您知道用户密码不包含#、$、%、<和>等字符。如果您知道只允许8到12个字符的密码,则知道所有用户都不使用超过13个字符的密码。如果您想猜测用户的密码,可以使用这些规则轻松执行操作。
但是,SQL注入、站点间脚本、命令注入和其他形式的注入攻击?如果遵循保存密码的最佳实践,请在收到密码后立即计算密码的哈希值。然后,只处理哈希密码,而不必担心注入攻击。
3、防御:
用户可以选择包含任意字符的密码。将最小密码长度指定为8个字符,但可以将密码长度指定为尽可能长(例如,限制为256个字符)。
网络安全密码管理策略常见问题分析--使用密码组合规则
1、原因:
大多数用户选择易于猜测的密码。您可以选择包含不同类型字符的密码,以便用户选择难以猜测的密码。
2、攻击:
安全专家认为,选择不同字符类型的密码可以提高密码的安全性。不幸的是,研究通常没有帮助。“密码1!”“P asssw0rd”可以遵循许多密码组合规则,但这些密码并不比“password”强。密码组合规则只会使用户难以记住密码。他们不会让攻击者的工作变得复杂。
3、防御:
删除密码组合规则。向应用程序添加密码复杂性检查,以提醒用户密码选择是否明显较弱。但是,不要强制用户、数字、特殊字符等。添加密码。稍后,我们将讨论如何使应用程序更安全,以防止用户密码漏洞。
