在突发新闻中,您的密码不够好,这应该不足为奇。不,即使你只是将一堆角色混在一起,或者将你的宠物的组合名称与基于你最喜欢的足球队获胜百分比的符号序列混合在一起,也不会。
2025年新数据发布Specops 密码泄露报告该报告包含对 2024 年发现的超过 10 亿个被恶意软件窃取的密码的分析,结果表明,2.3 亿个被盗密码“实际上满足了标准复杂性要求(超过 8 个字符、1 个大写字母、1 个数字和特殊字符)”。
正如宣布该报告的新闻稿所说,“这表明,标准还不够。”
Specops Software 高级产品经理 Darren James 表示:“被恶意软件窃取的密码数量应该引起组织的关注。”
“即使您组织的密码策略很强大并且符合合规性标准,这也无法保护密码免遭恶意软件窃取。其实我们看到很多该数据集中超出了常见网络安全法规中的长度和复杂性要求。”
也就是说,无论是无知还是愚蠢,人类的决定仍然发挥着重要作用:2024 年被盗的前 5 个密码依次是 12345、admin、12345678、password 和 Password。
欺诈者使用 Redline、Vidar 和 Raccoon Stealer 等恶意软件来获取密码并获得访问权限。这些可以起到保护作用,这意味着即使是复杂的密码也容易受到攻击。
虽然 Specops 提供了一些有用的提示,例如使用自定义密码排除字典来阻止弱密码,但更大的含义是显而易见的。
最好的密码?这可能是一个。
论文比较了设备绑定的同步密钥
一个新的研究论文Arvix 提供了设备绑定与同步密钥凭据的比较评估。它指出,尽管通过各方的努力在密钥采用方面取得了成功“到目前为止,关于万能钥匙的安全性和可用性的研究还很少,更没有考虑到不同类型的万能钥匙之间的差异。”。
来自奥斯陆大学的作者旨在对密钥的不同访问级别进行分类,“以展示如何影响他们的安全性和可用性。”他们的模型区分了单用户环境中的设备绑定密钥(归类为低风险)、多用户模型中的同步和共享密钥(中风险)以及具有外部范围的导出密钥(高风险)。
该论文称:“我们的研究结果支持了同步密钥不如设备绑定密钥安全的说法。” “然而,安全和不安全的密钥之间的范围根据其实施和使用而有很大差异。因此,我们强调需要强有力的对于密钥提供商帐户,谨慎使用凭证共享以及安全存储备份。”
漏洞依然存在;身份验证适应
最近的一个故事福布斯杂志很好地阐释了这一总体信息。该文章详细介绍了来自,关于开源 pam-u2f 可插入身份验证模块软件包中的二因素身份验证部分绕过漏洞。
虽然该漏洞没有对任何人造成影响设备,它强调了身份验证的当前事实:密钥是一项正在进行的工作。
但它们仍然比密码好得多。
文章主题
|||||
