来自 应用 2022-05-24 16:10 的文章

美国高防_国内高防bgp服务器_怎么防

美国高防_国内高防bgp服务器_怎么防

制定一个让用户满意的安全认证过程说起来容易做起来难,但为了让他们在线安全,这是必要的。

控制访问是所有安全的基础。正确的人应该被允许进入,错误的人应该被拒之门外。这是通过确认——或认证——寻求访问的人的身份,然后检查该人是否有权进入。

认证通常通过出示用户ID(通常是用户的电子邮件地址)来识别该人,还有一个只有那个人才能确认身份的秘密密码。

但是这个过程有很大的问题。从根本上说,它不认证该人;如果罪犯获得并使用此人的用户ID和密码,罪犯将自动获得访问权限。因此,严格地说,密码不会对用户进行身份验证,它只会对设备进行授权,而不管是谁在使用它。

基于密码的身份验证的这一基本弱点已成为持续的灾难,这是由犯罪分子可获得的大量被盗ID和密码造成的。现在正在进行一场竞赛,寻找或开发一种更安全、更高效的用户身份验证形式。我们将查看一些选项,但首先将检查密码失败的原因和原因。

LastPass于2017年11月发布的一项分析"发现使用LastPass的员工平均管理着191个密码。不是10个,不是50个——平均191个。"期望用户记住这么多密码或保持提醒安全是不现实的;因此,他们使用并重用简单的密码。最容易记住的简单密码是最常见和最容易被黑客攻击的密码。将Avast列出的10个最差密码与NCSC列出的2019年违规受害者中使用频率最高的密码进行比较,以及SplashData 2019年最常使用的密码列表。

Avast的"最差密码"列表

NCSC 2019年最常被破解的密码

SplashData 2019年最常使用的密码

Avast提供如何创建强密码的建议,并提供随机强密码生成器(例如:ScuXaiZpdJkjFAb)。即使您不使用生成器,也值得检查一下强密码是什么样子的——但现在想象一下,必须记住100多个密码。

用户经常在多个不同的在线帐户中使用相同的密码,以减少他们需要记住的数量。这就是所谓的密码重用。这意味着,如果黑客掌握了一个密码,他们就可以访问使用相同密码的所有其他帐户。LastPass在2018年进行的一项调查发现,59%的用户承认重复使用密码是因为害怕忘记密码。

密码只有在用于认证未经授权的人时才是一个问题;他是个罪犯。这就引出了一个问题:罪犯如何获得密码;答案是,‘太容易了’。每周都有数百万人从在线服务和供应商那里被窃取,现在在黑暗的网络上有数十亿密码可供出售或免费使用(检查此处,查看您的密码是否已知在其中。)

这些密码应该并且通常由供应商以一种称为"哈希"的加密形式存储。散列产生一个唯一的标准长度的乱码输出,不能反转回原始值。然而,犯罪分子有大量预先计算的哈希值表以及产生这些值的来源(密码)。通过将被盗的哈希值与这些表进行比较,他们可以立即找到源密码;当然,首先要检查常见密码和简单密码。破裂每秒数百次。

收集密码的第二种常见方法是通过网络钓鱼。在这里,用户被社会化改造,通过虚假网站将用户名和密码(或完整的银行信息)交给罪犯。这些密码不需要破解,ddos防御维盟,因为用户提供的是未加密的密码。

无论哪种方式,罪犯都可以访问大量的用户名/密码配对。在许多情况下(希望如此),用户已经意识到密码是从XYZ.com被盗的,并且已经更改或被迫在XYZ帐户上更改密码。然而,大量研究表明,用户不会经常为每一个重复使用的帐户更改该密码。

在这里,罪犯会使用一种称为"凭证填充"的过程。他们将访问目标网站,并使用自动脚本使用其ID/密码存储测试登录过程。为了避免被发现,他们会在一段时间内以不同程度的复杂程度来完成这项工作。大多数尝试都会失败,脚本将继续执行下一个尝试,并重复该过程,直到成功为止。他们成功的频率足以让这成为一个严重的问题。

在任何提高身份验证安全性的尝试中,首先要理解的是"用户摩擦"的概念"摩擦力"用于表示用户所需的作用力。总的来说,增加安全需要增加摩擦。但是用户不喜欢身份验证。简短、简单、重复使用的密码摩擦小;独特、长而复杂的密码具有很高的摩擦性。这就是用户反复采用前者的原因。

如果在线供应商有复杂的登录过程,他将提供高安全性和高摩擦。用户很可能会转移到另一个低摩擦的网站,而不考虑安全性的降低。因此,反常的是,vb怎么做ddos防御,安全性通常是以客户为代价获得的;所有新认证过程的圣杯是高安全性与低摩擦的结合。在网络世界中,在这里成功的公司将茁壮成长;不使用的密码将失败。