糟糕的密码是如何让企业身陷险境的

单纯依靠密码已经无法妥善保证安全了。为每个账户和网站设置不同的帐号密码，并记住复杂的密码几乎是不可能的；而使用弱密码则可能会导致数据泄漏、帐号被黑和其他网络攻击。密码管理公司 NordPass 本周三发布了一份报告，探讨了使用弱密码的影响，并提供改善密码安全的方法。

在《财富 500 强企业中的不幸密码》报告中，NordPass 的研究人员分析了影响财富 500 强企业的公开第三方漏洞数据。这些数据包括来自 17 个不同行业的 1500 多万次泄漏事件的细节。研究人员研究了每个行业使用的前 10 个密码、糟糕密码的使用百分比以及每个行业发生的数据泄露次数。

“password”这个单词仍然被滥用，成为包括零售和电子商务、能源、科技、金融，甚至IT和技术等所有行业中最常见的密码。在前十名的其他密码中，一些常见的选择是 "123456"、"Hello123 "和 "sunshine"。

在被泄漏的这些密码中，大约 20% 的密码是公司的企业名称或者简单变形，例如在公司名称之后加个数字或者年份。在酒店行业中这种情况最为普遍。

而在某些行业，员工也经常使用特定类型的弱密码。例如在能源行业，广泛使用“snowman”；在金融行业广泛使用“profit”；在媒体和广告行业广泛使用“myspace1”这样的单词作为密码。一些被发现的弱密码看起来几乎是滑稽的，但这种趋势有严重的影响。弱密码实际上是导致数据泄露的主要漏洞之一。

Nordpass 上个月遭受计算机漏洞的佛罗里达州水处理厂不仅运行着不支持的Windows版本，没有防火墙，而且在其员工中使用相同的共享 TeamViewer 密码。

在另一个例子中，臭名昭著的SolarWinds黑客事件可能部分是由有人使用 "solarwinds123 "的密码来保护安全服务器而引发的。尽管公司官员否认这个弱密码起了作用，但据报道，SolarWinds公司曾被安全专家警告过这个差劲的密码，但花了两年时间才更改密码。

NordPass引用的一份IBM报告发现，全球数据泄露的平均成本为386万美元。医疗行业的数据泄露成本要高得多，约为713万美元。此外，美国的数据泄露成本也是全球最高的，平均为864万美元。

为了帮助组织和个人养成更好的密码习惯，NordPass提供了以下指南：

● 使用复杂密码并定期更新

安全专家一致认为，一个强大的密码至少包含12个字符、大写和小写字母、数字和特殊符号。要想快速轻松地创建一个复杂的强密码，可以尝试使用密码生成器，大多数密码管理器中都可以找到。但由于数据泄露事件频发，经常会暴露密码，因此要避免在不同网站和账户中重复使用密码，并定期更新密码。

● 使用密码管理器

在没有一些帮助的情况下，为每个账户耍弄不同的复杂密码是行不通的。考虑在公司内部采用一个密码管理器。这样的工具提供了一种安全的方式，可以在一个地方存储、共享和管理密码。许多厂商都为企业客户提供了具有额外安全功能的商业版本。除了NordPass自己的产品外，其他密码管理器包括 LastPass、Dashlane、Bitwarden、1Password和RoboForm。

● 使用多因素认证或者 single sign-on

多因素认证要求您提供两个或更多的验证因素来访问在线帐户或应用程序。MFA的主要好处是，它通过要求用户通过用户名和密码以外的方式来识别自己的身份，从而增强了您组织的安全性。另一个想法是利用单点登录和密码同步。有了单点登录，员工就不太可能重新采用不良的密码做法，比如创建常用密码或将其写下来。

● 加强对员工的培训

IT和安全专业人员需要让他们的同事意识到密码强度的重要性。向他们解释为什么混合使用工作和个人账户会很危险。避免不良的密码习惯可以确保员工的个人身份得到保护，并确保公司数据在发生泄露时得到保障。你可能还需要考虑建立全公司的密码政策。