弱密碼對于依靠云服務(wù)的企業(yè)來說是一種常見的威脅。專家Dejan Lukan總結(jié)了一些關(guān)于密碼的最佳實踐。
云服務(wù)在過去幾年如雨后春筍般崛起,并被大量的個人和公司廣泛使用。然而,大量的云服務(wù)和應(yīng)用也帶來了許多需要記住的,用以連接和使用這些云服務(wù)的密碼。
弱云密碼
有這么多可以通過某種憑證,例如一個密碼、一個PKI密鑰或別的什么方式來訪問的云服務(wù),自然也讓攻擊者有了很多的機(jī)會來獲取云服務(wù)的訪問。在大多數(shù)情況下,只要提供正確的密碼就可以從世界任何地方,通過互聯(lián)網(wǎng)來訪問云服務(wù)。這就是為什么他們是單點(diǎn)故障;弱的云密碼可以被黑客輕易取得來獲得對云服務(wù)的訪問。
要防范弱密碼的問題,我們在設(shè)置或更改密碼時使用最佳的密碼安全措施是非常重要的,這包括:
初始密碼:如果密碼是由第三方設(shè)定為一個初始的默認(rèn)值,請重置它,這樣它就不會被存儲在歷史或緩存的某處,導(dǎo)致整體安全性降低。
共享密碼:設(shè)定共享密碼時,請選擇一個沒有在其他任何地方使用的密碼。如果你在另一個服務(wù)也使用相同的密碼,攻擊者可以同時獲得兩個云服務(wù)的訪問。
密碼有效時間:假定攻擊者已經(jīng)破解了密碼,并可以訪問云服務(wù),那么每90天修改一次密碼就非常關(guān)鍵。這種做法有助于防止攻擊者進(jìn)一步取得認(rèn)證并竊取更多的敏感信息。
密碼最短長度:密碼長度應(yīng)至少8位,雖然我們通常建議更長的密碼。為了安全起見,造一個句子來作為你的密碼。
密碼強(qiáng)度:密碼應(yīng)該同時使用小寫和大寫字母,數(shù)字和特殊字符。這確保攻擊者在暴力破解密碼時必須通過更多數(shù)量的組合才能成功。
密碼歷史:保存并使用密碼的歷史版本,這讓系統(tǒng)能夠比較當(dāng)前密碼與歷史密碼并確定有些密碼是否會過于相似。如果過于相似的話,應(yīng)該拒絕本次密碼更改。
云密碼管理器
我們的日常生活中有那么多使用和管理的密碼,要全部記住這些密碼幾乎是不可能的。人類不擅長記住一大組的隨機(jī)密碼,而只能回憶起少數(shù)幾個。這就是為什么我們必須尋找一個替代的解決方案,如密碼管理器。
密碼管理器是運(yùn)行在一個系統(tǒng)上的程序,負(fù)責(zé)將所有的密碼加密并存儲到硬盤上。每當(dāng)用戶希望獲取密碼時,他/她必須提供主密鑰,所有其他密碼都是通過該主密鑰進(jìn)行加密的。這允許用戶可以獲得一個我們可以用來登錄云服務(wù)的密碼的明文版本。通常,該密碼存儲在剪貼板里,可以被復(fù)制粘貼到密碼的輸入框中。
有很多作為獨(dú)立的程序來使用的針對不同操作系統(tǒng)的密碼管理器。一些密碼管理器也會以不同的Web瀏覽器插件的形式出現(xiàn)。一些開源的密碼管理包括Gpass、KeePass、LastPass、Revelation、Gorilla、KeePassX和Pass。
Pass是最主流的密碼管理器之一,因為它沒有一個圖形用戶界面(GUI)并且必須通過命令行來使用。這賦予了它一種優(yōu)勢,因為它可以很容易的在云系統(tǒng)中使用—云通常都不支持GUI。
Pass密碼管理器也被包含在大多數(shù)的Linux軟件包系統(tǒng)信息庫中,因此在大多數(shù)情況下它可以很容易的通過默認(rèn)的包管理器安裝。這就是為什么安裝和使用Pass密碼管理器會相對簡單的原因。Pass需要創(chuàng)建一個GNU Privacy Guard密鑰,之后密碼就可以很輕松的被添加到其管理器的密碼存儲中。
當(dāng)用戶需要輸入密碼來驗證云服務(wù)時,密碼管理器會要求提供主密鑰。在用戶提供了正確的主密鑰后,所需要的密碼會被復(fù)制到系統(tǒng)剪貼板中,可以復(fù)制粘貼到用于認(rèn)證的云服務(wù)。一旦用戶通過驗證,密碼應(yīng)當(dāng)從剪貼板中刪除,以防止通過系統(tǒng)剪貼板竊取信息的惡意軟件。Pass在45秒后將自動刪除該密碼,因此用戶不必?fù)?dān)心需要手動刪除的問題。這是任何密碼管理器都必須具備的功能,因為它提供了一個重要的安全措施可以額外防止不安全的密碼管理。
良好的云安全需要強(qiáng)大的云安全密碼
每個人每天都必須使用和管理許多的密碼。許多這些密碼都是用于云服務(wù)認(rèn)證,這使得它們對于云安全來說非常重要。為了恰當(dāng)?shù)谋Wo(hù)自己不使用不安全的密碼,我們必須選擇強(qiáng)的長的和隨機(jī)的密碼,并且應(yīng)存放到密碼管理器中。
通過使用密碼管理器,我們可以遵照最佳的安全指導(dǎo)準(zhǔn)則來創(chuàng)建各種強(qiáng)密碼,而無需記住所有這些密碼。密碼管理器需要一個主密碼來解密其他的密碼,以獲得云服務(wù)的認(rèn)證。因此,我們只需要記住一個主密碼從而可以獲得對剩下的密碼的訪問。通過使用密碼管理器,我們不必記住密碼管理器中的任何密碼,但仍可以享受密碼的安全益處。