国外安全网站安全周刊有一篇文章《密码依赖:如何打破循环》,对我们去理解密码的作用以及安全隐患,或许有些帮助,今天整理过来和大家一起分享,仅供参考! 在过去的几年里,世界已经学到了无数的人生课程,但很明显,在安全方面,仍有数百万人没有学到最基本的知识之一。来自NordPass的报告据透露,数以百万计的人仍然没有改掉使用易于记忆但易于破解的密码的习惯。在 200 个最常用的密码中,“密码”位居第一,但不幸的是,对于超过 400 万使用它的人来说,它可以在不到一秒钟的时间内被破解。其他流行的密码包括“guest”和极具创意的“123456”。说到违规,条条大路仍然通向身份认证。获取认证信息后,黑客不再侵入,他们使用被盗的、弱的、默认的或以其他方式泄露的凭据登录。这就是打破密码依赖循环如此重要的原因。但如何做到这一点? 通常,黑客会寻找阻力最小的路径,并瞄准网络防御链中最薄弱的环节——人类。因此,当今的大多数数据泄露都是以凭据收集活动为前端,然后是撞库攻击。一旦进入,黑客就可以散开并在网络中横向移动,寻找特权账户和凭据,帮助他们访问组织最关键的基础设施和敏感数据。事实上,身份定义安全联盟 (IDSA) 的一项研究表明,基于凭据的数据泄露无处不在(94% 的调查受访者经历过与身份相关的攻击)并且高度可预防 (99%)。 当今的经济环境加剧了这些网络风险,而新冠疫情的影响导致数字化转型和技术变革加速,这将进一步对组织对密码的依赖性进行压力测试。这在最小化传统数据中心、云和 DevOps 环境中与访问相关的风险方面带来了新的挑战。因此,在授予对有价值数据和关键系统的访问权限时,组织需要超越用户名和密码。虽然员工教育和培训可以提供帮助,但还需要额外的措施来确保安全访问……这正是零信任网络访问 (ZTNA)提供的。 ZTNA 解决方案围绕一个或一组应用程序创建基于身份和上下文的逻辑访问边界。根据广泛的因素授予用户访问权限,例如,正在使用的设备,以及其他属性,例如设备状态(例如,是否存在反恶意软件并且正在运行)、访问时间/日期请求和地理位置。在评估上下文属性后,解决方案会在特定时间动态提供适当的访问级别。由于用户、设备和应用程序的风险级别不断变化,因此针对每个单独的访问请求做出访问决策。 成功路线图 在实施像 ZTNA 这样的新兴技术时,倾听早期采用者的意见始终很重要,他们可以提供对成功关键因素的见解并帮助避免陷阱。最近采用 ZTNA 的组织报告称,以下关键因素对其成功至关重要:
虽然有多种途径可以打破对密码的依赖,但 ZTNA 允许组织最大限度地减少攻击面,同时确保其远程员工的工作效率。
|
|