网络​安全入门-保护登录凭据

admin 2023年12月5日17:52:06评论12 views字数 886阅读2分57秒阅读模式

概述

恶意行为者定期从受感染的数据库中释放登录凭据。网络犯罪分子可以通过多种方式使用这些凭据,包括在线冒充个人、访问工作和个人账户、签署在线服务协议或合同、从事金融交易或更改账户信息。

密码策略建议:

  • 密码应至少包含10个字符,并包含大小写字母、数字和符号。CIS建议使用14个字符。

  • 为您访问的每个账户使用不同的密码。

  • 请勿在密码中使用单词和专有名称(无论语言如何)或个人信息,例如您的姓名、家庭成员或宠物的名字等。

  • 定期更改密码——至少每60天一次。如果您认为您的账户已被盗用,请立即更改密码。不要重复使用旧密码。

  • 不允许浏览器的密码管理器存储您的密码;某些浏览器以明文形式存储和显示密码,并且默认情况下不实施密码保护。

  • 不允许网站自动登录账户;许多服务在本地存储此信息,攻击者可以利用它无需密码即可获得访问权限。

  • 不要与任何人分享您的密码,也不要回复要求您提供登录凭据的电子邮件或电话。合法企业绝不会通过这些方法要求您提供登录凭据。

  • 在工作中,请遵循组织的密码政策,并为工作和个人使用不同的密码。加入和访问个人网站时请勿使用工作电子邮件。

  • 使用多重身份验证,其中包括您知道的信息(密码)和您拥有的信息(手机、物理密钥等)(如果提供)。

技术建议:

  • 实施网络控制以强制执行组织的凭据策略。

  • 保留足够的密码历史记录,以防止用户重复使用去年使用过的任何密码。CIS建议阻止用户使用最近24个密码中的任何一个。

  • 实施控制措施,确保至少每60天更改一次密码。

  • 将最短密码期限设置为至少一天,以便用户无法循环使用密码以返回到他们最喜欢的密码(例如,在25分钟内更改密码24次,以允许他们重复使用原始密码)。

  • 要求所有密码至少包含以下四类中的三类:大写字母、小写字母、数字和符号。

  • 使用强大的加盐和散列函数存储所有密码;只有具有超级用户权限的人才能访问存储的文件。不要使用可逆加密来存储密码。

  • 将账户登录阈值设置为10次或更少的无效登录尝试,并且账户锁定和密码重置之间至少需要15分钟。记录并监控所有登录尝试。

  • 设置新设备时更改默认密码和管理员账户。


原文始发于微信公众号(河南等级保护测评):网络​安全入门–保护登录凭据

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月5日17:52:06
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络​安全入门-保护登录凭据https://cn-sec.com/archives/2268804.html

发表评论

匿名网友 填写信息