亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

就在每年 HW 結(jié)束之后，沒錯是之后不是之前，網(wǎng)絡(luò)安全行業(yè)里的眾多朋友，有甲方，也有乙方，都會紛紛找到我，告訴我自己某個系統(tǒng)被攻擊隊打穿了，手段樸素至極，利用的就是開放到公網(wǎng)的某個系統(tǒng)的用戶弱密碼。

如果你以為朋友們是想亡羊補牢，采取合理且積極的手段去徹底治理這個風(fēng)險，那你就大錯特錯了。大家只是需要一個向上匯報的材料，去跟老板講“我們接下來可以怎么做”、“我們應(yīng)該這么做來解決這個風(fēng)險”。然后，事情就閉環(huán)且完結(jié)了，一切都沒有任何改變，來年繼續(xù)在同一個地方栽跟頭，當(dāng)然可能只是在攻防對抗中被扣掉 1 分 2 分，無傷大雅。

時間就在歷史的不斷重復(fù)中，緩緩向前推進(jìn)。

01?強密碼，本身就是違背人性的

作為安全從業(yè)者，我們十分擅長為用戶制定安全的密碼規(guī)則，從密碼的構(gòu)成到強制更新的周期設(shè)定，再到復(fù)雜的多因子認(rèn)證，我們?nèi)鐢?shù)家珍。

拋去安全從業(yè)者自嗨，我們也得承認(rèn)，這些真的是沒啥人性的規(guī)則，凡是逆人性之事，必遭受人性的敷衍和對抗。

因此我們會看到，雖然強制要求 90 天更換密碼，但員工采取”規(guī)律性遞增”（如 Password01→Password02）的方式應(yīng)付，反而降低了賬戶安全性。根據(jù) Verizon 數(shù)據(jù)報告，此類”偽強密碼”在泄露事件中的占比從 2019 年的 17% 升至 2023 年的 29%；我們也會看到，28% 的高管存在多個系統(tǒng)共用同一密碼的情況。這種普遍存在的”安全惰性”，使得企業(yè)制定的 16 位混合字符密碼策略形同虛設(shè)。

上有政策，下有對策，人性的懶惰，就是弱密碼的永久溫床。

02?越容易被驗證的地方，越不安全

企業(yè)密碼管理存在明顯的”二八悖論”，80% 的防御預(yù)算投入在應(yīng)對高級威脅，卻放任 20% 的基礎(chǔ)安全漏洞持續(xù)存在。企業(yè)投入大量資源構(gòu)建防火墻、部署入侵檢測系統(tǒng)、升級威脅情報能力，卻常常在一個看似簡單的問題上”翻車”，弱密碼。這個被反復(fù)提及卻始終未被根治的漏洞，成為攻擊者撬開企業(yè)安全防線的萬能鑰匙。

為什么會出現(xiàn)這樣的現(xiàn)象，作者看來主要是有以下幾個緣由：

• 1、利益平衡：假設(shè)安全防線失守，弱密碼此等問題引發(fā)不了災(zāi)難級別的事故，風(fēng)險結(jié)果可承受。同樣的道理，如果企業(yè)賣數(shù)據(jù)可以賺 1000 萬，政府罰款 200 萬，那么這事就無法禁止；如果銀行安全建設(shè)要全部合規(guī)，成本也是 1000 萬，但銀保監(jiān)罰款才 200 萬，那么就有銀行選擇對風(fēng)險視而不見；如果金融放貸公司，將利息層層包裝為高額服務(wù)費，只會招來政府批評和要求整改，那他們就會不停想辦法把利息包裝成保險、理財產(chǎn)品等等。哎，又扯遠(yuǎn)了，天下熙熙皆為利來，天下攘攘皆為利往。
• 2、瓜田不納履，李下不正冠：經(jīng)過瓜田，不可彎腰提鞋；經(jīng)過李樹下不要舉起手來整理帽子，避開易被質(zhì)疑的情境。怎么理解，企業(yè)老板很難懂得網(wǎng)絡(luò)滲透的技術(shù)，無法演說防火墻的話術(shù)，更難以猜測黑客的手腕，但他真懂什么是應(yīng)用賬號啊。企業(yè) IT 或者安全團隊，將重兵和預(yù)算用在防火墻、蜜罐、APT 這些事物上面，老板難以評價，更無法驗證有效性，安全團隊的工作反而變得簡單。但如果花在應(yīng)用賬號治理上，難免被老板指點江山（他以為他懂），且效果好不好過于容易被驗證，這與職場人來講極度缺少了辯解的空間，不利也。
• 3、需要過多安全之外的協(xié)同：應(yīng)用系統(tǒng)非安全團隊開發(fā)，如何改；并非上個產(chǎn)品功能，或者買個安全軟件就能搞定的事，太難；老板只聽方案，不批預(yù)算，神仙來了也得嘆息。

03?破局密碼困局的一個路徑，消滅密碼

人們傾向于選擇阻力最小的道路來完成任務(wù)，當(dāng)安全措施增加了工作的難度時，他們會尋找繞過這些障礙的方法，從而導(dǎo)致潛在的安全風(fēng)險。

傳統(tǒng)基于賬號和密碼的身份驗證方式存在固有的弱點。即使用戶選擇了強密碼，并定期更換，也無法完全避免被釣魚網(wǎng)站或惡意軟件捕獲的風(fēng)險。當(dāng)涉及到復(fù)雜的密碼管理和多平臺的賬戶時，用戶體驗也會變得非常糟糕，導(dǎo)致很多用戶選擇更容易記住但也更不安全的簡單密碼，或是重復(fù)使用相同的密碼。

因此，一個激進(jìn)但可能最有效的解決方案是， 徹底消除賬號密碼機制，或者不讓員工掌握應(yīng)用的賬號密碼，這樣即使遇到了釣魚網(wǎng)站，也能達(dá)到防止被釣魚的事情發(fā)生，這或許能從根本上解決弱密碼攻擊的問題。

怎么做，看看這樣的效果，同理通過數(shù)影辦公瀏覽器可以托管任意 Web 應(yīng)用賬號密碼，并實現(xiàn)應(yīng)用自動登錄，在無需應(yīng)用系統(tǒng)任何改造的前提下，消滅密碼。

大致的效果，就像阿里云賬號在數(shù)影瀏覽器內(nèi)被托管和自動登錄這般。

且慢！我知道您有可能已經(jīng)開始快速運轉(zhuǎn)您聰明的腦袋了，認(rèn)為通過開發(fā)者模式、瀏覽器遠(yuǎn)程調(diào)試、流量抓包、Cookie 緩存，都可以輕易把密碼給還原出來，因此給這整個方案貼上一個“弱安全”的標(biāo)簽，對此我的建議是：

Try it before you judge it.

聲明：本文來自連續(xù)創(chuàng)業(yè)的Janky，稿件和圖片版權(quán)均歸原作者所有。所涉觀點不代表東方安全立場，轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán)，請聯(lián)系rhliu@skdlabs.com，我們將及時按原作者或權(quán)利人的意愿予以更正。