1亿个密码遭泄漏，“最弱密码”继续领跑，企业“弱密码”亟需消灭！

IT之家 1 月 20 日消息，安全研究人员发现了有史以来最大的密码泄露事件之一，包含 7084 万个电子邮件地址以及超过 1 亿个密码凭证，至少有超过 40 万 Have I Been Pwned（HIBP）用户受到影响。

一直以来，身份与访问管理（IAM）就是企业数据安全的重灾区，而“弱密码”更是震中。据2023年11月，NordPass 公布的 2023 年最常用的 200 个密码。不出所料，“123456”继续领跑年度“最弱密码”榜首！

早在2011年，美国某密码管理应用程序提供商就开始统计年度“最弱密码”榜单，“123456”就是其中的“老主顾”，且一直位列“前茅”。而这样的弱密码往往只需要使用简单的暴力破解工具在1秒内即可破解。

尽管，我们都非常清楚地知道弱密码的危害大、破坏强、影响广......可为什么弱密码现象却总是在企业中屡禁不止呢？

01

弱密码现象为何屡禁不止？

回答这个问题之前，我们首先来了解下什么是弱密码？顾名思义，弱密码简单理解就是容易破译的密码。这样的密码往往具备以下几点特征：

1、密码长度少于8个字符；

2、字典中的单词；

3、多为简单数字组合、帐号与数字组合、键盘上临近键或常见姓名，如“123456”等；

4、默认密码，例如无线路由器常见的初始密码admin；

5、姓名、生日、QQ、电话号码、邮箱等，或它们的组合。

仔细回想一下，你设置的密码是不是基本逃不出这5大特征？

既然我们了解了弱密码的特征，那改掉不就行了吗？可事实却是，改掉并没有想象中的那么容易。

众所周知，企业为了满足国家政策法规对密码安全要求，减轻员工账号密码负担，做了很多努力。

例如，上线单点登录系统，实现一个账号密码即可登录所有业务系统，减轻密码记忆负担；设置密码长度，要求密码区大小写、添加符号，强制定期改密等防范技术措施......

然而，哪怕是每个人一个密码，企业弱密码现象也仍是普遍存在。因为人习惯于记忆那些有一定规律的数字或字母符合等组合的心理现象是不会变的。

更何况除了人，企业网络中还有各种安全设备、网络设备、应用系统等每天在产生大量密码！

02

不用密码就没有所谓的弱密码

那是否就消除不了企业弱密码现象呢？答案是否定的。

因为身份认证的凭据从来不只密码一种。我们每个人都是一个行走的“密码库”，每个人的“所知（我知道而你不知道）、所持（我持有的东西你没有）、所有（我独有特征你没有）”，都可以作为身份认证的凭据。

所以，针对人，企业可以采用派拉软件提供的多因素认证平台。平台支持以下多种登录认证方式，企业可按需设置：

......

这些登录认证方式不仅加强了安全能力，还提升了员工的登录体验，同时还可以直接消除密码。没有了密码，自然也就没有所谓的弱密码！

扫描下方二维码，免费申请试用派拉软件多因素认证平台！

03

如何消灭企业其它弱密码？

然而，上面这种消灭弱密码的方式存在一定的局限性。对于企业员工日常办公登录而言，这种方式也许很适用。但企业弱密码的来源除了人，还有各种网络设备、应用系统等。

这些设备的账号密码往往又具备共享属性。这时候，账号密码的管理方式往往是最佳选择。换句话说，我们不可能完全消灭企业中账号密码这一选项。至少，当下还不能！

这时候，怎么办？

为了帮助企业真正告别弱密码，满足企业合法合规的安全等级要求，派拉软件自主研发了弱密码检测系统。该系统支持多种加密算法、校验密码强度，同时保障整体系统的密码安全性。整个系统实现了从弱密码发现，到审计，再到治理全流程一体化管理。

不可否认，我们的生活已经被密码层层包围：打开手机屏锁，登录QQ、微博，连接无线网，转账交易，登录办公系统等都需要输入密码，而密码又是抵御网络攻击的第一道防线。

或许没有什么能保证绝对的安全，使用指纹解锁、面部解锁等也不例外。但正因为如此，我们更要多注意密码安全，采取与时俱进的技术保护措施，并灵活应用于企业安全实践操作中。这样才能在面对可能发生的意外时，更加从容淡定，安全高效地解决问题！