密码管理和身份验证的最佳实践

攻击者总是在寻找新的方法来破解密码,获得敏感信息。保持密码安全是一项具有挑战性的,而又至关重要的任务。阅读这个博客,了解一些密码管理的最佳实践和验证,这样你就可以保持你的环境安全。

这已经不是什么秘密,攻击者不断地寻找新的方法来获得账户未经授权的访问。为此,攻击者积极目标系统管理和重置密码和用户管理-特别是用户注册和认证。事实上,据最近Verizon数据违反调查报告大约49%的违反涉及使用偷来的凭证。这些安全错误,密码和用户管理步骤可以让门开着攻击者并导致灾难性的后果。

虽然有很多策略来维护凭证,保证您的环境的安全,我们喊下面三个关键策略。

使用一个强大的散列算法

哈希是一个过程,将用户的纯文本密码转换成一个复杂的和独特的密码。散列过程适用于一个数学公式,称为散列算法,密码,生成一个随机的、固定长度的值,然后存储在组织的数据库。结果就像一个独特的指纹,称为消化,不能逆向工程揭露原始密码。下次当你登录,网站计算散列以同样的方式,与存储的值进行比较。如果他们匹配,您授予访问帐户。

保护密码,我们建议使用强大的算法等Bcrypt或Argon2。此外,组织应该“季节”的密码用盐和胡椒调味。盐是一个随机生成的字符串添加到每个散列密码。为额外的安全还可以添加一些胡椒——另一个随机字符串添加到之前的密码散列相同的散列算法。之前的密码应该是咸散列。关于这个过程的更多信息,阅读我们的新“密码、身份验证和网络的最佳实践”白皮书。

实现多因素身份验证(MFA)

用户名和密码的身份验证是一项基本,广泛使用的方法,验证用户试图访问数字系统。它需要用户存在的组合两个或两个以上的凭证登录一个账户之前验证他们的身份。这意味着,未经授权的用户将不得不妥协获得多个证书。

实现MFA有多种方法,如验证与一个独特的联系;基于时间的,一次性密码;和短信,电子邮件或推送通知。最好的方法实现将取决于组织的独特需求。不管你选择的方法,实现MFA将添加一个额外的保护层来保护用户凭证。

创建一个公司密码策略

最后,让我们把它回到基础。组织应该创造的政策需要使用强密码。这是一个组织的第一线防御。有许多重要的需求创建强密码策略,但我们强调两个以下。

第一,禁止使用弱密码,默认凭证的继续使用,如用户名和密码组合的“admin / admin”。强密码的更多提示,请查看这Cybersecurty和基础设施的安全机构(CISA)的博客。

其次,用户必须确保他们使用强密码时,应用程序架构师和开发人员应该使用安全的方法在处理用户凭证。例如,他们可以消除使用硬编码的秘密。也称为嵌入式密码或硬编码的密码,这是纯文本密码等敏感信息加密或API键,直接嵌入在源代码,如果暴露,可以允许攻击者绕过身份验证。硬编码的秘密的更多信息,查看本文从OWASP。

有很多关于这个话题的更多细节,我们的免费下载白皮书”密码、身份验证和Web白皮书的最佳实践。”