为什么你最复杂的密码也很快会被破解
复杂密码的时代即将结束:探索为什么通行密钥是安全登录的未来,以及开发人员现在如何实施它们。
本页由自动翻译生成。请阅读英文原文 此处.
企业 Passkey 白皮书. 面向 passkey 项目的实用指南、推广模式和 KPI。
超过80%的数据泄露与密码有关。为每个帐户使用复杂且不同的密码可以提高安全性。然而,即使使用强密码的客户帐户也可能遭到黑客攻击。
当我们谈论登录数字帐户时,无论是在应用程序还是网站中,脑海中都会浮现出用户名和密码的组合。秘密密码已经使用了数千年。这是一个简单的概念——个人之间保密的共享信息部分,用于证明身份。
在人们将大部分时间花在网上的时代,这种简单概念的使用非常普遍。调查发现,近年来,随着新应用程序和在线服务的激增,每位用户的受密码保护帐户数量呈指数级增长。NordPass委托进行的一项研究发现,2019年至2020年间,每位用户的密码数量增加了20%,从平均83个跃升至100个。
密码保护帐户数量的增长起初并不构成问题。然而,用户设置和管理密码的方式确实是个问题。密码是静态的,因此必须由用户记住或存储(无论是在便签上还是在密码管理器中)。由于普通人只能记住7个字母或数字的组合,记住100个单独的密码可能会非常痛苦。因此,用户倾向于使用简单的密码,例如其家庭成员的名字、出生日期或简单的123456——这仍然是互联网上最常用的密码。但是,为什么密码首先是一个安全问题?
- 密码重用是大多数数据泄露的驱动因素:52%的用户重用密码,这使黑客能够利用最薄弱的平台同时访问多个帐户。
- 根据福布斯的报道,来自100,000次数据泄露的超过150亿条凭据可以在线购买,并且自2018年以来被盗凭据的数量增加了300%。
- 暴力破解攻击每秒超过1000亿次猜测,这意味着即使是复杂的密码也可以在几秒钟内被现代硬件破解。
- 超过80%的所有数据泄露都涉及密码,然而70%被泄露的凭据在曝光后仍被积极使用。
- NordPass的一项研究发现,2020年普通用户管理着100个密码,比2019年的83个增加了20%,这加剧了广泛的密码重用。
密码重用是安全漏洞的头号原因#
为了管理他们所有的帐户,52%的用户重用密码,这会带来严重的后果。这允许黑客通过攻击最薄弱的环节(安全标准最低的网站)来访问多个帐户。例如,你的Facebook帐户受复杂密码和强大的安全标准保护。但是,你的凭证很可能涉及以前的数据泄露,比如MySpace在2008年发生的泄露,当时有359,420,698个凭证被盗。这只是一个例子。根据《福布斯》的报道,自2018年以来,被盗凭证的数量增加了300%。今天,任何人都可以从互联网上购买来自100,000次泄露的超过150亿个凭证。利用这些凭据,黑客在数百个平台上执行大规模登录请求以获取对你帐户的访问权限(所谓的凭证填充攻击)。
即使是复杂的密码也不安全#
尽管这种风险广为人知,但70%的被泄露凭证仍在使用中。通常,可以通过在密码管理器的配合下为每个平台上的每个帐户使用不同且复杂的密码来避免凭证填充攻击。然而,即使是复杂的密码也很容易在几秒钟内被破解。去年,一台试图生成所有可能的密码的计算机创造了一项记录。它的速度达到了每秒超过100,000,000,000次猜测。使用此类脚本尝试随机用户名/密码组合称为暴力破解方法。
但是,即使你的密码未被暴力破解,它也并非绝对安全。作为客户,你必须信任你登录平台的安全标准。如果保护措施薄弱,无论密码多么复杂,任何密码都可能被盗。
黑客富有创意并不断改进他们的方法#
不幸的是,凭证填充和暴力破解并不是未经授权访问客户帐户的唯一方法。另一种广泛使用的技术是网络钓鱼,它使用原始站点的虚假用户界面来诱骗用户输入他们的凭证。其他方法包括中间人攻击(拦截公共WiFi网络等通信流)或键盘记录(在计算机上安装恶意软件以捕获凭证)。
只要存在密码,客户帐户就会遭到黑客攻击#
上面概述的问题解释了为什么超过80%的数据泄露和黑客攻击是由于密码引起的,并强调我们需要比简单的用户名和密码更好的方法来处理身份验证。在安全性方面,双因素身份验证(2FA)等发展方向是正确的,但用户采用率相当低。那么,为什么不完全省略密码并实现无密码化呢?听起来很有趣?探索Corbado的无密码解决方案,并获得未来身份验证的第一印象!
关于 Corbado
Corbado 是面向大规模运行 consumer 身份验证的 CIAM 团队的Passkey Intelligence Platform。我们让你看到 IDP 日志和通用 analytics 工具看不到的内容:哪些设备、操作系统版本、浏览器和 credential manager 支持 passkey,为什么注册没有转化为登录,WebAuthn 流程在哪里失败,以及什么时候操作系统或浏览器更新会悄悄破坏登录 — 而且无需替换 Okta、Auth0、Ping、Cognito 或你自有的 IDP。两款产品:Corbado Observe 提供 针对 passkey 及任何其他登录方式的 observability。Corbado Connect 提供 内置 analytics 的 managed passkey(与你的 IDP 并存)。VicRoads 通过 Corbado 为 500 万以上用户运行 passkey(passkey 激活率 +80%)。 与 Passkey 专家交谈 →
常见问题#
为什么使用唯一的复杂密码不足以保证我的帐户安全?#
如果存储密码的平台安全标准薄弱,即使是复杂的密码也可能被泄露,因为无论密码有多强,任何密码都可以从易受攻击的服务器上被窃取。网络钓鱼、键盘记录和中间人攻击等技术甚至在加密应用之前就捕获了凭据,这使得无论密码多么复杂,它本身都成为最薄弱的环节。
什么是凭证填充?为什么被盗凭证的规模如此危险?#
凭证填充涉及获取从一次违规中窃取的用户名和密码对,并在数百个其他平台上自动测试它们。由于可以在线购买来自 100,000 次违规的超过 150 亿条凭据,攻击者可以使用庞大的数据集,仅 2008 年的 MySpace 违规事件就暴露了超过 3.59 亿条凭据,无论受害者在何处重用这些密码,这些凭据仍然可以被利用。
尽管知道风险,为什么仍有那么多用户依赖薄弱或重复使用的密码?#
普通人只能可靠地记住大约 7 个字母或数字的组合,这使得几乎不可能记住 100 个独特的复杂密码。这种认知限制导致 52% 的用户在不同帐户中重用密码,这反过来又使黑客能够通过将目标锁定在用户注册的安全级别最低的单一平台上,从而访问多项服务。
像双因素身份验证这样的解决方案足以完全取代密码吗?#
双因素身份验证在安全性方面朝着正确的方向发展,但文章指出用户采用率仍然很低,从而限制了其实际影响。更有希望的方向是通过无密码身份验证完全消除密码,这从根本上消除了作为网络钓鱼、暴力破解和凭证填充攻击基础的静态共享秘密。
分享本文
相关文章
目录