在突發新聞中,您的密碼不夠好,這應該不足為奇。不,即使你只是將一堆角色混在一起,或者將你的寵物的組合名稱與基於你最喜歡的足球隊獲勝百分比的符號序列混合在一起,也不會。
2025年新數據發布Specops 密碼外洩報告該報告包含對2024 年發現的超過10 億個被惡意軟體竊取的密碼的分析,結果表明,2.3 億個被盜密碼「實際上滿足了標準複雜性要求(超過8 個字元、1 個大寫字母、 1 個數字和特殊字元)」。
正如宣布該報告的新聞稿所說,“這表明,標準還不夠。
Specops Software 高級產品經理 Darren James 表示:“被惡意軟體竊取的密碼數量應該引起組織的關注。”
「即使您組織的密碼策略很強大且符合合規性標準,這也無法保護密碼免於惡意軟體竊取。其實我們看到很多此資料集中超出了常見網路安全法規中的長度和複雜性要求。
也就是說,無論是無知還是愚蠢,人類的決定仍然發揮著重要作用:2024 年被盜的前 5 個密碼依次是 12345、admin、12345678、password 和 Password。
詐欺者使用 Redline、Vidar 和 Raccoon Stealer 等惡意軟體來獲取密碼並獲得存取權限。這些可以起到保護作用,這意味著即使是複雜的密碼也容易受到攻擊。
雖然 Specops 提供了一些有用的提示,例如使用自訂密碼排除字典來阻止弱密碼,但更大的含義是顯而易見的。
最好的密碼?這可能是一個。
論文比較了設備綁定的同步金鑰
一個新的研究論文Arvix 提供了裝置綁定與同步金鑰憑證的比較評估。它指出,儘管透過各方的努力在密鑰採用方面取得了成功「到目前為止,關於萬能鑰匙的安全性和可用性的研究還很少,更沒有考慮到不同類型的萬能鑰匙之間的差異。」。
來自奧斯陸大學的作者旨在對密鑰的不同訪問級別進行分類,“以展示如何影響他們的安全性和可用性。他們的模型區分了單一使用者環境中的裝置綁定金鑰(歸類為低風險)、多用戶模型中的同步和共用金鑰(中風險)以及具有外部範圍的匯出金鑰(高風險)。
該論文稱:“我們的研究結果支持了同步密鑰不如設備綁定密鑰安全的說法。” 「然而,安全和不安全的金鑰之間的範圍根據其實施和使用而有很大差異。因此,我們強調需要強而有力的對於金鑰提供者帳戶,謹慎使用憑證共享以及安全儲存備份。
漏洞依然存在;身份驗證適應
最近的一個故事福布斯雜誌很好地闡釋了這個整體訊息。該文章詳細介紹了來自,關於開源 pam-u2f 可插入身份驗證模組軟體包中的二因素身份驗證部分繞過漏洞。
雖然該漏洞並沒有對任何人造成影響設備,它強調了身份驗證的當前事實:密鑰是一項正在進行的工作。
但它們仍然比密碼好得多。
文章主題
|||||
