近二十年来，人们一直在预测密码的消亡。然而在 2023 年，大多数组织仍在使用静态凭证来控制对其一些最重要的数字资产的访问。为什么？很大程度上是因为与替代品相关的成本和用户抵制挑战。然而，这些相同的用户对公司数据和系统构成了重大威胁，因为他们不知道，或者不会学习如何安全地管理他们的密码。威胁是真实存在的：仅在 2022 年一年，Microsoft每秒就记录到 1,287 次密码攻击，每天总计超过 1.11 亿次。

随着又一个世界密码日尘埃落定，组织应该假设，如果他们仍在使用密码，他们将面临遭受重大数据泄露的高风险。减轻这种风险的唯一方法是对该数据应用强大的保护，无论它位于企业的哪个位置。

内行再次来袭

最近的一份 报告发现，84% 的组织认为身份验证安全是当今的头等大事。他们的担心是对的。密码为威胁行为者提供了一个巨大的目标：一个可以轻松解锁外围防御和内部数据存储的密钥。当您可以伪装成合法用户穿过前门时，为什么还要为可能触发安全警报的恶意软件而烦恼呢？凭据被盗占数据泄露的 40% 以上也就不足为奇了。

为什么密码是一个重大的安全风险？很大一部分原因归结为内部人员的疏忽。简而言之，员工通常不会安全地使用或管理它们。这里有几个问题：

密码通常很容易被猜到：一项2022 年的研究发现，每 200 个密码中就有一个是“112345”。它声称在最常用的 50 个中，有 49 个可以使用地下网络犯罪中现成的易于使用的工具在一秒钟内破解。

密码经常被重复使用：一份报告估计，多达 60% 的凭据在多个帐户中被重复使用。这意味着，如果这些网站或应用程序中只有一个被攻破，黑客可以将登录信息输入自动化软件，并在其他账户上同时尝试登录，寻找匹配项——以“暴力破解”或“撞库”攻击。

用户没有按照应有的频率更新密码：一项研究发现，全球四分之一 ( 26%) 的用户十多年来一直使用相同的密码。

密码可能会被破解、猜测或钓鱼：因为它们提供了绕过公司安全措施的密钥，所以密码是一个主要目标。它们可以从组织中集体被破坏，从具有更高特权的目标中单独被钓鱼，或者在像上面描述的那样的暴力攻击中“被猜测”。

个人正在成为企业风险：许多员工在工作和个人帐户中重复使用密码。这意味着如果后者受到损害，它可能危及企业系统。工作和娱乐之间模糊的界限会增加其他风险：一项研究发现，超过 70% 的员工将工作密码保存在个人设备上

甚至 IT 团队也有罪：另一项研究发现，近一半 (46%) 的 IT 和安全领导者仍然将公司密码存储在电子表格等办公文件中。

揽阁LGPAC可以做什么？

揽阁信息自研的LGPAC系统，可以对数据库的访问密码起到以下保护作用：

• 访问密码黑盒自动生成
  

• 数据库访问密码动态更新

• 通讯链路一次一密动态保护，防止链路监听和拦截

• 60位随机密码长度，有效防止彩虹表攻击和碰撞攻击

• 数据库访问密码全生命周期管理

• 安全审计功能

• 磁道级绑定技术

欢迎联系我们，讨论您的数据库访问安全需求。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 育碧（Ubisoft）被黑客攻击48小时：900GB数据险遭泄漏

• SK Telecom与Thales合作开发后量子密码学

• Thales提前完成收购Imperva交易

• 经验教训：2023年全球网络安全的五个要点

• 数据安全的未来是什么