■徐磊

企業(yè)如何抵御弱云密碼

■徐磊

弱密碼對(duì)于依靠云服務(wù)的企業(yè)來說是一種常見的威脅。專家Dejan Lukan總結(jié)了一些關(guān)于密碼的最佳實(shí)踐。

云服務(wù)在過去幾年如雨后春筍般崛起，并被大量的個(gè)人和公司廣泛使用。然而，大量的云服務(wù)和應(yīng)用也帶來了許多需要記住的，用以連接和使用這些云服務(wù)的密碼。

弱云密碼

有這么多可以通過某種憑證，例如一個(gè)密碼、一個(gè)PKI密鑰或別的什么方式來訪問的云服務(wù)，自然也讓攻擊者有了很多的機(jī)會(huì)來獲取云服務(wù)的訪問。在大多數(shù)情況下，只要提供正確的密碼就可以從世界任何地方，通過互聯(lián)網(wǎng)來訪問云服務(wù)。這就是為什么他們是單點(diǎn)故障；弱的云密碼可以被黑客輕易取得來獲得對(duì)云服務(wù)的訪問。

要防范弱密碼的問題，我們?cè)谠O(shè)置或更改密碼時(shí)使用最佳的密碼安全措施是非常重要的，這包括：

初始密碼：如果密碼是由第三方設(shè)定為一個(gè)初始的默認(rèn)值，請(qǐng)重置它，這樣它就不會(huì)被存儲(chǔ)在歷史或緩存的某處，導(dǎo)致整體安全性降低。

共享密碼：設(shè)定共享密碼時(shí)，請(qǐng)選擇一個(gè)沒有在其他任何地方使用的密碼。如果你在另一個(gè)服務(wù)也使用相同的密碼，攻擊者可以同時(shí)獲得兩個(gè)云服務(wù)的訪問。

密碼有效時(shí)間：假定攻擊者已經(jīng)破解了密碼，并可以訪問云服務(wù)，那么每90天修改一次密碼就非常關(guān)鍵。這種做法有助于防止攻擊者進(jìn)一步取得認(rèn)證并竊取更多的敏感信息。

密碼最短長(zhǎng)度：密碼長(zhǎng)度應(yīng)至少8位，雖然我們通常建議更長(zhǎng)的密碼。為了安全起見，造一個(gè)句子來作為你的密碼。

密碼強(qiáng)度：密碼應(yīng)該同時(shí)使用小寫和大寫字母，數(shù)字和特殊字符。這確保攻擊者在暴力破解密碼時(shí)必須通過更多數(shù)量的組合才能成功。

密碼歷史：保存并使用密碼的歷史版本，這讓系統(tǒng)能夠比較當(dāng)前密碼與歷史密碼并確定有些密碼是否會(huì)過于相似。如果過于相似的話，應(yīng)該拒絕本次密碼更改。

云密碼管理器

我們的日常生活中有那么多使用和管理的密碼，要全部記住這些密碼幾乎是不可能的。人類不擅長(zhǎng)記住一大組的隨機(jī)密碼，而只能回憶起少數(shù)幾個(gè)。這就是為什么我們必須尋找一個(gè)替代的解決方案，如密碼管理器。

密碼管理器是運(yùn)行在一個(gè)系統(tǒng)上的程序，負(fù)責(zé)將所有的密碼加密并存儲(chǔ)到硬盤上。每當(dāng)用戶希望獲取密碼時(shí)，他/她必須提供主密鑰，所有其他密碼都是通過該主密鑰進(jìn)行加密的。這允許用戶可以獲得一個(gè)我們可以用來登錄云服務(wù)的密碼的明文版本。通常，該密碼存儲(chǔ)在剪貼板里，可以被復(fù)制粘貼到密碼的輸入框中。

有很多作為獨(dú)立的程序來使用的針對(duì)不同操作系統(tǒng)的密碼管理器。一些密碼管理器也會(huì)以不同的Web瀏覽器插件的形式出現(xiàn)。一些開源的密碼管理包括Gpass、KeePass、LastPass、Revelation、Gorilla、KeePassX和Pass。

Pass是最主流的密碼管理器之一，因?yàn)樗鼪]有一個(gè)圖形用戶界面（GUI）且必須通過命令行來使用。這賦予了它一種優(yōu)勢(shì)，因?yàn)樗梢栽谠葡到y(tǒng)中使用—云通常都不支持GUI。

Pass密碼管理器也被包含在大多數(shù)的Linux軟件包系統(tǒng)信息庫中，因此在大多數(shù)情況下它可以很容易的通過默認(rèn)的包管理器安裝。這就是為什么安裝和使用Pass密碼管理器會(huì)相對(duì)簡(jiǎn)單的原因。Pass需要?jiǎng)?chuàng)建一個(gè)GNU Privacy Guard密鑰，密碼就可以很輕松地被添加到其管理器的密碼存儲(chǔ)中。

當(dāng)用戶需要輸入密碼來驗(yàn)證云服務(wù)時(shí)，密碼管理器會(huì)要求提供主密鑰。在用戶提供了正確的主密鑰后，所需要的密碼會(huì)被復(fù)制到系統(tǒng)剪貼板中，可以復(fù)制粘貼到用于認(rèn)證的云服務(wù)。一旦用戶通過驗(yàn)證，密碼應(yīng)當(dāng)從剪貼板中刪除，以防止通過系統(tǒng)剪貼板竊取信息的惡意軟件。Pass在45秒后將自動(dòng)刪除該密碼，因此用戶不必?fù)?dān)心需要手動(dòng)刪除的問題。這是任何密碼管理器都必須具備的功能，因?yàn)樗峁┝艘粋€(gè)重要的安全措施可以額外防止不安全的密碼管理。

良好的云安全需要強(qiáng)大的云安全密碼

每個(gè)人每天都必須使用和管理許多的密碼。許多這些密碼都是用于云服務(wù)認(rèn)證，這使得它們對(duì)于云安全來說非常重要。為了恰當(dāng)?shù)谋Ｗo(hù)自己不使用不安全的密碼，我們必須選擇強(qiáng)的長(zhǎng)的和隨機(jī)的密碼，并且應(yīng)存放到密碼管理器中。

通過使用密碼管理器，我們可以遵照最佳的安全指導(dǎo)準(zhǔn)則來創(chuàng)建各種強(qiáng)密碼，而無需記住所有這些密碼。密碼管理器需要一個(gè)主密碼來解密其他的密碼，以獲得云服務(wù)的認(rèn)證。因此，我們只需要記住一個(gè)主密碼從而可以獲得對(duì)剩下的密碼的訪問。通過使用密碼管理器，我們不必記住密碼管理器中的任何密碼，但仍可以享受密碼的安全益處。