近日,Specops软件公司发布的一份《2022年度弱密码报告》指出,密码作为生活中必不可缺的一份子,已经得到了充分的重视和保护,但尽管如此,在Specops软件公司记录的泄露密码数据库中,仍然有数百万个被相对安全的复杂密码遭到了泄露。
报告得出了五个有趣的结论:
1.密码长度并不意味着密码安全
报告发现,在暴力攻击中,93%的密码至少包含8个字符。类似地,在现实世界攻击中,41%的密码长度为12个或更多字符。这些统计数据强调了一个观点——即使是很长的密码也可能被泄露。
报告发现,在暴力攻击中,93%的密码至少包含8个字符。类似地,在现实世界攻击中,41%的密码长度为12个或更多字符。这些统计数据强调了一个观点——即使是很长的密码也可能被泄露。
网络犯罪分子们正在创建自己的密码字典,这些包含海量密码的字典可以根据哈希值来匹配密码字符,而无需实际破解密码本身,这使得长密码也不能豁免攻击风险。
2.密码常常与地理位置、季节或流行文化相关联
报告发现,密码通常会包含当地流行文化、季节等相关字符。例如,在春季的时候42%泄露的密码中都包含单词“summer”。而在一些盛行棒球运动的城市,球队名称、明星球员等都会常见用于密码中;一些畅销音乐家的歌名、电影角色等也都会受到群众的青睐,掌握这些信息后,攻击者往往能够轻易的匹配出账号密码。
报告发现,密码通常会包含当地流行文化、季节等相关字符。例如,在春季的时候42%泄露的密码中都包含单词“summer”。而在一些盛行棒球运动的城市,球队名称、明星球员等都会常见用于密码中;一些畅销音乐家的歌名、电影角色等也都会受到群众的青睐,掌握这些信息后,攻击者往往能够轻易的匹配出账号密码。
3.极其复杂的密码也并不能防止凭据被盗
报告发现,一个企业内部往往会要求员工设置密码时混合使用大小写字符、数字和符号。即便如此,在实际攻击中使用的 68% 的密码至少包含两种不同类型的字符,包含大小写字母和数字的密码泄露超过 2000 万个,包含大小写字母、数字和特殊字符的泄露密码超过 150 万个。这意味着,虽然会更加安全,但复杂性高的密码也并非万无一失。
4.密码过载是一个大问题
Specops在对2000名用户的调查中发现,虽然明确知道为不同的社交媒体、交易平台设定有差异性的密码组合,但仍然有361名用户承认,在多个系统上自己使用了相同或相似的密码。他们表示,如果为每个平台都设置不同密码的话,那么最少要一一对应的记住10+个密码才能满足日常生活需要,但想要记住如此多的密码是十分困难的。
5.组织可以采取更多技术措施来确保密码安全
泄露密码数据库中包含数百万个“相对安全”的密码这一简单事实清楚地表明,组织需要更多技术措施来确保密码安全。但报告发现,54% 的组织都没有采购管理工作密码的工具。此外,48% 的组织没有为其服务台设置用户身份验证机制,这使企业面临巨大的社会工程风险。
密码管理市场将会达到29亿美元
密码管理是一种软件解决方案,可帮助 IT 管理员管理和组织服务器、网络设备和计算机系统上的密码。企业用户通常使用密码管理器来审计、保护、管理和监控与特权帐户相关的操作,作为信息安全和治理的工具。这些软件程序不仅适用于企业;它们也被个人用作安全工具,以保护关键数据、文件、财务记录和法律信息免受网络攻击。
据 ResearchAndMarkets 预测,到 2027 年,全球密码管理市场规模预计将达到 29 亿美元,在预测期内以 20.7% 的复合年增长率增长。
ResearchAndMarkets 称,密码管理器能够通过简化存储和保护复杂的帐户凭证来确保企业安全,随着全球范围内网络攻击的数量不断增加,企业需要更多技术手段来保护数据库和其他必要和机密的数字文件,这将会给密码管理市场带来庞大的需求。
此外,云计算、物联网和世界各地其他数字框架的兴起也正在推动密码管理市场向前发展,全球越来越多的组织开始使用密码管理解决方案来简单地重置和管理他们的密码,随着在线交易量的增长,密码管理对于保护在线信息和防止在线欺诈也变得越来越重要。