弱密碼對于依靠雲服務的企業來說是一種常見的威脅。專家dejan lukan總結了一些關于密碼的最佳實踐。
雲服務在過去幾年如雨後春筍般崛起,并被大量的個人和公司廣泛使用。然而,大量的雲服務和應用也帶來了許多需要記住的,用以連接配接和使用這些雲服務的密碼。
弱雲密碼
有這麼多可以通過某種憑證,例如一個密碼、一個pki密鑰或别的什麼方式來通路的雲服務,自然也讓攻擊者有了很多的機會來擷取雲服務的通路。在大多數情況下,隻要提供正确的密碼就可以從世界任何地方,通過網際網路來通路雲服務。這就是為什麼他們是單點故障;弱的雲密碼可以被黑客輕易取得來獲得對雲服務的通路。
要防範弱密碼的問題,我們在設定或更改密碼時使用最佳的密碼安全措施是非常重要的,這包括:
初始密碼:如果密碼是由第三方設定為一個初始的預設值,請重置它,這樣它就不會被存儲在曆史或緩存的某處,導緻整體安全性降低。
共享密碼:設定共享密碼時,請選擇一個沒有在其他任何地方使用的密碼。如果你在另一個服務也使用相同的密碼,攻擊者可以同時獲得兩個雲服務的通路。
密碼有效時間:假定攻擊者已經破解了密碼,并可以通路雲服務,那麼每90天修改一次密碼就非常關鍵。這種做法有助于防止攻擊者進一步取得認證并竊取更多的敏感資訊。
密碼最短長度:密碼長度應至少8位,雖然我們通常建議更長的密碼。為了安全起見,造一個句子來作為你的密碼。
密碼強度:密碼應該同時使用小寫和大寫字母,數字和特殊字元。這確定攻擊者在暴力破解密碼時必須通過更多數量的組合才能成功。
密碼曆史:儲存并使用密碼的曆史版本,這讓系統能夠比較目前密碼與曆史密碼并确定有些密碼是否會過于相似。如果過于相似的話,應該拒絕本次密碼更改。
雲密碼管理器
我們的日常生活中有那麼多使用和管理的密碼,要全部記住這些密碼幾乎是不可能的。人類不擅長記住一大組的随機密碼,而隻能回憶起少數幾個。這就是為什麼我們必須尋找一個替代的解決方案,如密碼管理器。
密碼管理器是運作在一個系統上的程式,負責将所有的密碼加密并存儲到硬碟上。每當使用者希望擷取密碼時,他/她必須提供主密鑰,所有其他密碼都是通過該主密鑰進行加密的。這允許使用者可以獲得一個我們可以用來登入雲服務的密碼的明文版本。通常,該密碼存儲在剪貼闆裡,可以被複制粘貼到密碼的輸入框中。
有很多作為獨立的程式來使用的針對不同作業系統的密碼管理器。一些密碼管理器也會以不同的web浏覽器插件的形式出現。一些開源的密碼管理包括gpass、keepass、lastpass、revelation、gorilla、keepassx和pass。
pass是最主流的密碼管理器之一,因為它沒有一個圖形使用者界面(gui)并且必須通過指令行來使用。這賦予了它一種優勢,因為它可以很容易的在雲系統中使用—雲通常都不支援gui。
pass密碼管理器也被包含在大多數的linux軟體包系統資訊庫中,是以在大多數情況下它可以很容易的通過預設的包管理器安裝。這就是為什麼安裝和使用 pass密碼管理器會相對簡單的原因。pass需要建立一個gnu privacy guard密鑰,之後密碼就可以很輕松的被添加到其管理器的密碼存儲中。
當使用者需要輸入密碼來驗證雲服務時,密碼管理器會要求提供主密鑰。在使用者提供了正确的主密鑰後,所需要的密碼會被複制到系統剪貼闆中,可以複制粘貼到用于認證的雲服務。一旦使用者通過驗證,密碼應當從剪貼闆中删除,以防止通過系統剪貼闆竊取資訊的惡意軟體。pass在45秒後将自動删除該密碼,是以使用者不必擔心需要手動删除的問題。這是任何密碼管理器都必須具備的功能,因為它提供了一個重要的安全措施可以額外防止不安全的密碼管理。
良好的雲安全需要強大的雲安全密碼
每個人每天都必須使用和管理許多的密碼。許多這些密碼都是用于雲服務認證,這使得它們對于雲安全來說非常重要。為了恰當的保護自己不使用不安全的密碼,我們必須選擇強的長的和随機的密碼,并且應存放到密碼管理器中。
通過使用密碼管理器,我們可以遵照最佳的安全指導準則來建立各種強密碼,而無需記住所有這些密碼。密碼管理器需要一個主密碼來解密其他的密碼,以獲得雲服務的認證。是以,我們隻需要記住一個主密碼進而可以獲得對剩下的密碼的通路。通過使用密碼管理器,我們不必記住密碼管理器中的任何密碼,但仍可以享受密碼的安全益處。
本文作者:談翔
來源:51cto
![【圖解HTTP】——確定Web安全的HTTPSHTTPS小結[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)