我們使用密碼來訪問個(gè)人信息和帳戶。有這么多需要密碼的應(yīng)用程序，可能很難跟蹤，更糟的是它會(huì)被應(yīng)用程序記住。某些應(yīng)用程序要求用戶經(jīng)常更改密碼，這可能導(dǎo)致用戶忘記密碼或在一張紙上寫下密碼。那張紙稍后就不知道放在那里，這也將會(huì)導(dǎo)致密碼丟失。因此需要頻繁更改密碼，并將密碼設(shè)置的更復(fù)雜。密碼由字符串組成，可以包含字母，數(shù)字和特殊字符。以下分析將分解有效性和數(shù)據(jù)結(jié)構(gòu)。

1.歐洲語言的大寫字母（A 通過 Z，帶有變音符號，希臘語和西里爾字母）

2.歐洲語言的小寫字母（a 通過 z，sharp-s，帶有變音符號，希臘和西里爾字母）

3.以10為基數(shù)的數(shù)字（0 通過 9）

4.非字母數(shù)字字符：（~!@#$%^&*_-+=`|(){}[]:;"'<>,.?/）。在此政策設(shè)置中，歐元或英鎊的貨幣符號不算作特殊字符。

5.任何分類為字母字符但不是大寫或小寫的Unicode字符。這包括來自亞洲語言的Unicode字符。

到目前為止，這是對可用于密碼的內(nèi)容的理解。例如，名為“ jsmith ” 的用戶可以創(chuàng)建密碼“ One4all&AllFOR1”。

　　密碼無處不在

密碼旨在確保互連的在線世界中的安全。Internet已與其他人建立聯(lián)系以進(jìn)行通信，交易和共享信息，但不幸的是Internet沒有內(nèi)置安全層。

這需要第三方實(shí)現(xiàn)，在這種實(shí)現(xiàn)中，沒有統(tǒng)一的方法可以僅從一個(gè)位置登錄并訪問任何站點(diǎn)而無需輸入另一個(gè)密碼。在像Google或Microsoft這樣的特定公司的生態(tài)系統(tǒng)中，這是可能的，但是當(dāng)您要訪問另一家公司的服務(wù)時(shí)，就沒有互操作性或共享安全信息以允許訪問。

盡管有一些方法允許使用Oath協(xié)議之類的訪問委派標(biāo)準(zhǔn)，但仍然沒有通用的“一次登錄并永久訪問所有內(nèi)容”的系統(tǒng)。

作為用戶，您可能在線擁有多個(gè)帳戶。一個(gè)或多個(gè)用于銀行，社交媒體，支付，電子郵件和組協(xié)作。建議您為每個(gè)密碼使用不同的密碼。其他人僅對他們的所有在線帳戶使用一個(gè)密碼。

兩者都有一個(gè)問題。當(dāng)您需要記住這么多密碼時(shí)，除非您記下密碼或使用密碼管理器，否則很容易忘記。不幸的是，并非每個(gè)人都使用密碼管理器，因此他們可能經(jīng)常不得不從網(wǎng)站上恢復(fù)密碼。當(dāng)您僅對所有帳戶使用一個(gè)密碼時(shí)，如果該密碼被黑客破解，則可以訪問您的所有在線信息。

　　加密通道和散列

IT部門的安全分析師意識到，明文密碼并不安全。還需要更安全地存儲密碼，以防止篡改。在數(shù)據(jù)網(wǎng)絡(luò)的早期，密碼在傳輸過程中也不安全。這將使黑客能夠輕松地使用所謂的數(shù)據(jù)包嗅探器 來分析包含明文密碼的數(shù)據(jù)包。這是一個(gè)需要解決的關(guān)鍵問題。

解決方案是使用加密和散列來應(yīng)用加密方法。用戶和服務(wù)器之間的通信通道將使用HTTPS / TLS / SSL協(xié)議進(jìn)行加密，以實(shí)現(xiàn)安全通信。

這將使黑客更難于竊聽網(wǎng)絡(luò)上的數(shù)據(jù)，因?yàn)楝F(xiàn)在將對其進(jìn)行加密。密碼也不會(huì)顯示為明文。現(xiàn)在，它經(jīng)歷了散列功能以創(chuàng)建原始密碼的摘要。

這僅是一種單向功能，因此黑客很難破解密碼。這將需要進(jìn)行昂貴的字典攻擊，但是哈希值本身可能需要數(shù)年才能解決被哈希的原始密碼。

例如，如果我們使用示例密碼“ One4all&AllFOR1”并應(yīng)用SHA256哈希函數(shù)，結(jié)果將是：

27ACE4452635B4AFDA20E3A89255832CF8A247DB46EA72A24B1EDCB0BD8D3E9D

然后將其存儲在密碼表中，不再使用明文格式。如果黑客要獲取該密碼表，那么他們破解密碼就不容易了。

這些措施增加了保護(hù)系統(tǒng)的安全性。但是，它仍然不能阻止對系統(tǒng)的攻擊。原因與密碼有關(guān)。

　　蠻力攻擊

密碼雖然提供了一層安全保護(hù)，但卻不能防黑客。它只需要一個(gè)人做出聰明的猜測就可以訪問用戶的個(gè)人電子郵件帳戶。

該接口是公開的，任何人都可以登錄用戶名和密碼。只要允許使用稱為“蠻力攻擊”的技術(shù)來知道用戶名，任何想要入侵的人都可以輕松猜出該用戶的密碼。

這也稱為“字典式攻擊”，因?yàn)楣粽呖梢允褂妹艽a列表，例如在字典中查找單詞。這是安全系統(tǒng)不太復(fù)雜時(shí)的最早攻擊形式之一。為了阻止這種情況，系統(tǒng)管理員對一定數(shù)量的失敗登錄嘗試實(shí)施了用戶帳戶鎖定。

這可以防止使用暴力手段，但由于現(xiàn)在他們的帳戶已被鎖定，因此還會(huì)影響實(shí)際用戶。這將帶來不便，因?yàn)樗枰c系統(tǒng)管理員聯(lián)系以解鎖其帳戶。

如果系統(tǒng)管理員不可用或在半夜沒人值班怎么辦?這樣可以防止用戶登錄并進(jìn)入重要工作。

IT經(jīng)理已對這些問題做出了更快的反應(yīng)。現(xiàn)在有解決這些問題的安全合規(guī)性策略。始終應(yīng)該有一個(gè)備份管理員值班，特別是對于全天候運(yùn)行的企業(yè)操作。

通過此設(shè)置，工作人員將始終具有重置密碼或解鎖帳戶的技術(shù)支持。就像安全系統(tǒng)已經(jīng)更新以應(yīng)對新威脅一樣，攻擊的類型也變得越來越復(fù)雜以挫敗這些措施。密碼需要變得更加復(fù)雜且不容易被猜中。這導(dǎo)致IT經(jīng)理實(shí)施密碼策略。

　　密碼復(fù)雜度

現(xiàn)在，對于具有公共界面的站點(diǎn)以及對于使用登錄屏幕的任何應(yīng)用程序的最佳做法，都必須實(shí)現(xiàn)密碼復(fù)雜性。過去，許多用戶很粗心，并使用“密碼”作為密碼。

當(dāng)然，這很容易被黑客竊取，甚至激起了想要成為黑客的自尊心。這是一種簡單的攻擊，不需要破解一個(gè)非常困難的密碼，而這需要花費(fèi)一些時(shí)間才能完成。

系統(tǒng)管理員將這些策略作為操作系統(tǒng)自身功能的一部分(例如Windows Server)實(shí)施，并且開發(fā)人員為其應(yīng)用程序使用了類似的設(shè)計(jì)。由于密碼復(fù)雜，用戶將無法使用以下某些類型的密碼：

·名或姓

·密碼

·以前的密碼

·僅限所有數(shù)字或字符

·所有小寫或大寫

·常用詞

密碼復(fù)雜性的使用可防止用戶使用類似 'password' 要么 'internet'。各個(gè)公司的復(fù)雜性規(guī)則會(huì)有所不同，但是此示例可以說明如何定義一個(gè)策略。

·最少8個(gè)字符

·大寫和小寫的混合

·字母數(shù)字和非字母數(shù)字字符的混合

回到我們的用戶“ jsmith”的示例，密碼“ One4all&AllFOR1”可以被視為符合該策略。它使用至少8個(gè)字符，混合使用字母數(shù)字和非字母數(shù)字字符以及大小寫字符。

當(dāng)管理員要求更改密碼以執(zhí)行策略時(shí)，情況將變得更加復(fù)雜。這意味著，讓我們說3個(gè)月后密碼會(huì)過期。這將要求用戶創(chuàng)建一個(gè)新密碼才能登錄，這可能會(huì)很忙，甚至沒有用，因?yàn)橛脩魧⑿枰涀∫粋€(gè)新密碼。

它沒有成為解決方案的一部分，而是帶來了一些新問題。許多公司不使用這種類型的強(qiáng)制執(zhí)行，但其他公司也可以使用。

使用復(fù)雜性的密碼策略是好的，因?yàn)樗鼈兛梢云仁褂脩羰褂脧?qiáng)密碼而不是弱密碼。即使密碼很復(fù)雜，它仍然不能使系統(tǒng)完全安全。它只是增加了另一層。

用戶可以共享密碼，甚至將其寫下來以供日后被盜。幸運(yùn)的猜想仍然可以吸引黑客。看來問題仍然在于密碼本身。

　　更強(qiáng)的密碼

有一種方法可以通過滿足分析其熵或破解密碼的難度來增強(qiáng)密碼的安全性。此難度取決于密碼長度中的位數(shù)。

　　可以在以下公式中顯示：

·log(C) / log(2) * L

·C =字符集的大小

·L =密碼的長度

1.從數(shù)學(xué)上講，密碼的長度比所使用的字符集的復(fù)雜度指數(shù)重要。

2.任何復(fù)雜性規(guī)則實(shí)際上都會(huì)增加密碼被破解的能力。

字符集是指可用于密碼的字符總數(shù)。在美國，以下是可以使用的字母數(shù)字和非字母數(shù)字字符的總共可能的類型：

·數(shù)字：0-9

·高位Alpha：A-Z

·下阿爾法：a-z

·特殊的角色：` ~ ! @ # $ % ^ & * ( ) _ + - = { } | [ ] : " ; ' < > ? , . /

我們的數(shù)字有10個(gè)字符，大寫和小寫字母有26個(gè)字符，特殊字符有32個(gè)字符。我們將所有內(nèi)容加起來為10 + 26 + 26 + 32 = 94個(gè)字符。因此，根據(jù)觀察結(jié)果1，密碼長度比僅使用的字符集更難破解。

密碼強(qiáng)度更高的關(guān)鍵在于長度和復(fù)雜性的結(jié)合。即使需要數(shù)天，數(shù)周或數(shù)月的時(shí)間，密碼仍然可以被破解，但是這一安全層增加了黑客花費(fèi)的時(shí)間。最終，安全專家還需要提出更智能的身份驗(yàn)證方法。

更智能的身份驗(yàn)證方法

身份驗(yàn)證方法正在實(shí)施更好的安全技術(shù)來阻止黑客。通過組合不同的方法，其目的是使系統(tǒng)更安全地抵抗攻擊。不僅要求用戶輸入密碼，還將要求其他信息。

這導(dǎo)致了“多因素身份驗(yàn)證”或“兩因素身份驗(yàn)證”的開發(fā)，以提高安全性。這樣可以啟用只有用戶喜歡的智能手機(jī)號碼等其他信息才能進(jìn)行身份驗(yàn)證。使用MFA，它還包括使用生物識別信息，例如指紋或視網(wǎng)膜掃描。

所有這些都增加了安全性，但是如果密碼丟失或忘記了則無濟(jì)于事。人們?nèi)匀恍枰涀∶艽a才能完成身份驗(yàn)證。

使用MFA，可以使用三種方法進(jìn)行身份驗(yàn)證。

1. 您知道的這是您的密碼。驗(yàn)證用戶身份的第一層安全性。

2. 您所擁有的您的智能手機(jī)或計(jì)算機(jī)。使用智能手機(jī)號碼，系統(tǒng)可以通過短信發(fā)送回一個(gè)代碼供用戶輸入。在計(jì)算機(jī)上，可以創(chuàng)建一個(gè)安全令牌，該令牌使用一個(gè)身份驗(yàn)證提供程序來生成用戶可以輸入的代碼。

3. 您是誰有關(guān)用戶的生物識別信息，例如指紋，面部識別或視網(wǎng)膜掃描。如果存在可以獲取有關(guān)用戶信息的傳感器，則可以使用第三種方法。這是在智能手機(jī)指紋讀取器上實(shí)現(xiàn)的。

即使密碼被猜測，使用這種不同的身份驗(yàn)證方法也可能阻止黑客。然后，黑客將不得不對用戶的智能手機(jī)或計(jì)算機(jī)進(jìn)行物理訪問，或者只有實(shí)際用戶的手指。

這仍然不是安全的頂峰。可以使用另一種方法來驗(yàn)證用戶的真實(shí)身份。

　　區(qū)塊鏈

對于 身份驗(yàn)證，區(qū)塊鏈可以結(jié)合2FA或MFA提供另一層安全性。這是一個(gè)值得商topic的話題，因?yàn)閰^(qū)塊鏈技術(shù)仍是相當(dāng)新的技術(shù)，并且沒有其他系統(tǒng)那么多的記錄。

它的優(yōu)勢在于能夠使用所謂的Merkle證明快速驗(yàn)證數(shù)據(jù)。這是不可否認(rèn)的已驗(yàn)證信息記錄，該記錄基于具有可跟蹤根的哈希值。

這種類型的系統(tǒng)的優(yōu)勢在于身份驗(yàn)證。假設(shè)用戶“ jsmith”聲稱是“ John Smith”。基于區(qū)塊鏈的系統(tǒng)會(huì)在數(shù)字總賬上創(chuàng)建加密安全記錄，以此證明這一點(diǎn)。

該記錄也是透明的，不能修改或刪除。當(dāng)作為驗(yàn)證系統(tǒng)的一部分實(shí)施時(shí)，可以使用共識機(jī)制來完成。例如，假設(shè)用戶已通過2FA，則區(qū)塊鏈現(xiàn)在會(huì)驗(yàn)證用戶的身份。

網(wǎng)絡(luò)上的節(jié)點(diǎn)將基于用戶的臉部或指紋來驗(yàn)證是否正確輸入了此信息。如果用戶信息與系統(tǒng)知道的信息不匹配，則訪問將被拒絕。

如果黑客要通過MFA，則由于身份要求驗(yàn)證，因此區(qū)塊鏈可以阻止其訪問。對于區(qū)塊鏈，您具有執(zhí)行驗(yàn)證的獨(dú)立節(jié)點(diǎn)。

讓獨(dú)立節(jié)點(diǎn)執(zhí)行驗(yàn)證的好處是，它不在一個(gè)可以影響的實(shí)體下。它的目的是在沒有人做出絕對決定的不信任環(huán)境中下放權(quán)力。必須進(jìn)行集體努力，才能在大多數(shù)節(jié)點(diǎn)之間達(dá)成共識。

這是值得信賴和有效的嗎？用幾句話不容易解釋它，但是這里的想法是要建立一個(gè)驗(yàn)證系統(tǒng)，作為對身份驗(yàn)證的最后手段。我不會(huì)在這個(gè)話題上做任何進(jìn)一步的介紹，因?yàn)檫@只是理論上的，而不是實(shí)際的應(yīng)用。

技術(shù)在不斷發(fā)展，當(dāng)需要使用不需要密碼的不同身份驗(yàn)證方法時(shí)，目前我們?nèi)匀恍枰艽a。密碼重要的是使密碼復(fù)雜而又長。

如今8個(gè)字符實(shí)在太簡單了，因?yàn)楹诳驮趯W(xué)習(xí)新技術(shù)時(shí)其方法變得更加復(fù)雜。下次IT經(jīng)理考慮安全性時(shí)，添加MFA等其他層在保護(hù)用戶方面非常有意義。目前，只要有系統(tǒng)要求使用密碼，便會(huì)繼續(xù)使用密碼。

上述就是關(guān)于密碼安全性和驗(yàn)證方法的全部內(nèi)容介紹，想了解更多關(guān)于密碼安全性和驗(yàn)證方法的信息，請繼續(xù)關(guān)注中培偉業(yè)。