www.8455.com,澳门新葡8455最新网站

全球10万个最常被黑的密码公布,澳门新葡8455最新网站密九令扫码登陆,杜绝弱口令风险

2019-04-22


互联网时代,离不开APP和网站,工作中也应用着不同的办公系统、财务系统、邮件系统等。随着账号的增多,造成了密码单一、重复的现象,这样极其不安全,很容易受到黑客的撞库、弱口令攻击。

近期,英国国家网络安全中心(NCSC)发布了一份列表,列出了数据泄露中出现的 100000 个最常见的密码。在列表数据中,显示最常用密码是?“123456”,有?2320 万个帐户使用此密码,另外,全世界有?770 万用户选择使用?“123456789”?作为密码。

这还是在泄露的数据中提取的账户信息,在实际中,使用这些密码的人还会更多,也意味着还有很多账户存在数据泄露的风险。

此外,调查显示,超过70%的人经常在智能手机和平板电脑上使用PIN码和密码。如果用户密码很弱,黑客可以暴力破解密码,进入用户的账户。

英国国家网络安全中心公布被黑客入侵次数最多的密码列表:

https://www.ncsc.gov.uk/static-assets/documents/PwnedPasswordTop100k.txt

20个最常用的弱密码

123456?(2320万次)

123456789?(770万次)

qwerty?(380万次)

password?(360万次)

1111111?(310万次)

12345678?(290万次)

abc123?(280万次)

1234567?(250万次)

password1?(240万次)

12345?(230万次)

1234567890?(220万次)

123123?(220万次)

000000?(190万次)

Iloveyou?(160万次)

1234?(130万次)

1q2w3e4r5t?(120万次)

Qwertyuiop?(110万次)

123?(102万次)

Monkey?(98万次)

Dragon?(96万次)

弱口令威胁

所谓弱口令就是非常简单的密码,比如"admin、123456、888888"等等。这类密码因为很方便记忆,所以被大量使用,但是也经常容易让他人猜测到,更容易被黑客暴力破解。口令就相当于进入家门的钥匙,当他人有一把可以进入你家的钥匙,想想你的安全、你的财物、你的隐私......害怕了吧。因为弱口令很容易被他人猜到或破解,所以如果你使用弱口令,就像把家门钥匙放在家门口的垫子下面,是非常危险的。

弱口令是如何形成的?

弱口令的成因无非就是源于人类的情性。每个企业的工作人员都在负责不同的业务,无论从什么角度来看,忘记密码造成的麻烦甚至是损失都是不小的,因此许多用户会选择便用简单好记的密码或总是让浏览器记住密码。有时候甚至可能是身份的相关信息,这里就涉及到了用户的信息安全。如果要保护口令的安全,就需保护用户的信息安全。这里波及的面更广,拿到了用户信息就可能拿到用户的财务信息,包括银行卡密码。

传统解决方案

传统上,规避弱口令问题,企业需从管理和技术两方面看手。通常情况下,大部分企业会选择这些做法:

一、进行员工培训,提高员工的网络安全意识;

二、在制度上严格规定,规范账号密码使用方法弱口令不是简单的管理问题,每个人都有使用固定的密码的习惯。培训和制度的约束很难改变一个人的行为习惯,况且培训和制度的约束效果无法量化,实施起来收效甚慢;

三、实施技术措施,通过技术手段强制要求密码的复杂策略,但是防不住员工把密码贴在显示器上,这也是弱口令导致泄露事件频发的原因之一。

澳门新葡8455最新网站基于国密算法的身份认证解决方案——密九令

该方案基于标识密码技术和IBC-CHAP挑战应答、OpenID等技术实现统一的安全身份认证和访问控制,使用手机号码、邮箱地址作为用户标识公钥,无需管理维护复杂的密钥基础设施。用户使用扫码认证客户端,一次扫描二维码可安全登录多个应用系统,无需使用账号密码登陆,通过随机数的签名/验签方式实现高强度身份认证,杜绝弱口令猜测、字典攻击、撞库攻击等风险问题。方案支撑密钥分片、联合签名的密码技术,实现无证书无介质增强认证。为用户等提供了基于智能手机的统一安全认证服务。

方案优势

安全性:

SM9算法结合挑战应答机制实现用户强身份认证,认证过程无口令交互,可避免弱口令、撞库攻击等安全风险。

保密性:

手机端只存储客户端分片密钥,并采用增强加密技术进行存储保护,能有效防止对手机端密钥的暴力破解;即使手机遗失后丢失了客户端的分片密钥,服务端的分片密钥由于不存在遗失的问题,可以全面保障整体的安全性;整个系统具有较强的抗攻击能力,有效解决了手机端环境不可信的问题。

易用性:

扫码即可完成用户身份确认,无需账号口令,无需安装控件,一次认证可安全登录多个业务系统,无需记忆多套账号口令。

功能完整性:

采用Https加密传输协议保证传输过程安全,采用SM3/SM4算法对平台存储的数据进行加密保护,实现身份认证、传输保护、存储保护、日志审计全方位的安全设计。

易扩展、易安装:

支撑快速构建B/S应用和APP的单点登录,支撑已建设的B/S业务系统零改动集成单点登录功能。

先进性:

采用国际、国内信息安全最新研究成果,如标识密码、密钥分片等技术,能够适应未来的技术发展趋势。

XML 地图 | Sitemap 地图