每年的这个时候,我都必须填写我公司的网络保险申请——每年他们都会询问我们是否鼓励使用强密码并经常更改它们。 这个问题让我非常恼火,因为我们真的不应该经常更改密码。 相反,我们应该选择适当匹配站点风险的身份验证过程; 使用密码应该是您最不想依赖的事情。
首先,想想网站保存的关于您的信息和数据。 我们希望提供最多保护的站点往往最弱。 在可能的情况下,始终将双因素身份验证添加到站点的访问中。 (并非所有多因素身份验证都是平等创建的,但某种多因素身份验证总比没有好。如果它鼓励攻击者去其他地方,它就完成了它的工作。
银行和金融机构通常会缓慢推出身份验证软件,因此您必须满足于用户名、密码,然后是双因素身份验证工具——通常是发送到智能手机的文本。 虽然可以克隆智能手机 SIM 芯片(因此攻击者可以欺骗您的手机并拦截短信),但我们中的绝大多数人仍然可以通过此过程获得更好的结果。 仅依靠用户名和密码访问银行会使您的帐户面临风险。
[通过 Computerworld 的时事通讯了解最新的 IT 思想领导力、见解、操作方法和分析。 ]
公平地说,并非所有密码都是一样的。 如果您在另一个网站或不同的银行账户上重复使用了密码,则您面临的风险更大。 攻击者经常窃取或购买被黑密码或密码“散列”存储库,然后尝试重新使用它们以访问其他站点。 如果您曾经收到过密码重置通知——而您没有尝试登录该帐户——那很可能是攻击者试图在网站上进行密码填充攻击。 所以不要在任何地方重复使用相同的密码。
多年来,在线用户被告知改变他们的用户名,以查看网站是否在其他地方出售您的信息。 现在,我在选择密码或口令时看到了同样的建议。 网上有一个非常有趣的视频,详细介绍了人们用来选择密码的过程。 您首先选择一个密码,然后在任何地方都使用它。 然后,当一个网站说一个不够好时,你会添加另一个字母。 然后你需要一个特殊字符(如感叹号)。 事实是:我们的大脑只能容纳这么多信息,这就是为什么我们倾向于在多个站点上重复使用相同的密码或其变体。
Microsoft 通常建议使用 PIN 而不是密码。 它认为 PIN 是特定于设备的,因此如果攻击者窃取了您的 PIN,他们也必须窃取设备。 这个论点有一个问题。 我有几台需要 PIN 的设备,我不得不承认我在所有这些设备上都使用了相同的 PIN,因为我记 PIN 比记密码更难。 根据微软的说法,PIN 的优势在于“当创建 PIN 时,它会与身份提供者建立信任关系,并创建一个用于身份验证的非对称密钥对。” PIN 由计算机上的可信平台模块 (TPM) 芯片备份。 (如果您想知道为什么您的 Windows 10 机器要求您使用 PIN 而不是密码,那是因为操作系统注册了您拥有支持该过程的必要硬件。)如果您不需要或不想拥有 一个 PIN,您可以将其删除。 按 Windows 键和 I 键打开设置。 选择帐户,然后单击继续。 在左侧面板中,单击登录选项。 在右侧面板上,选择 PIN 部分下的“删除”。
改善在线安全的努力正在蔓延。 Intuit 最近开始要求在线密码,即使是登录其会计和簿记软件 QuickBooks 的桌面版也是如此。 那些拥有包含工资单或信用卡等敏感信息的 QuickBooks 文件的人也必须先使用在线帐户登录。 多年来,桌面用户只需要一个用户名。 即便如此,许多用户还是觉得这种变化似乎过于粗暴,尤其是在强制要求每 90 天更改一次密码的情况下。 (这又是一个想法,即更改密码比更好的密码或使用 Google 身份验证器应用程序访问您的 Intuit 帐户更可取。
[ 2023 年 CIO 100 奖:提名征集开始。 今天提交。 ]
即使您是小型企业,也可以将双因素身份验证添加到您自己的计算机访问权限以增强安全性。 例如,Duo.com 为少于 10 个用户的部署免费提供 DUO。 它为智能手机甚至 Apple Watch 提供双因素提示。 我在办公室使用它进行远程访问,以确保当任何人从办公室外连接时,他们必须响应手机上的提示才能获得访问权限。 它的易用性意味着我可以确保远程访问是安全的,并且可以避免过多的密码更改。
