情报技巧│查询员工密码是否泄露的五种方法

2020年5月,Verizon发布了第13期,即2020年度的《数据泄露调查报告》。这份报告收集了81个参与单位提供的涵盖81个国家(含中国)的157525件安全事件,其中符合报告质量标准的安全事件有32002件,并且有3950件安全事件被认定为数据泄露。从受害者看,28%的泄露涉及小企业,去年这个数字是43%。72%的泄露事件涉及大企业。58%的受害者个人数据遭到了泄露。

密码作为一种安全措施已经存在了很长时间,但是我们都知道密码并不安全。《 2018年Verizon数据泄露事件报告》指出,密码泄露是造成与黑客相关的违规行为的81%。数据显示,由于凭证填充攻击,企业每年平均损失400万美元,这种攻击是通过使用泄露的公开密码和凭据来执行的。

但是,您不能真正怪罪您的员工对密码的不良使用-人们被要求记住许多不同帐户的密码。根据Google于2019年进行的一项调查:至少有65%的人承认对多个(即使不是全部)帐户使用相同的密码。

先进的组织正在实施无密码解决方案,但并不是每个企业都在采取类似措施。因此,当今许多组织的现实情况是,密码仍然是身份验证难题的一部分。如果真是这样,您绝对不能完全防止密码泄漏,但是您至少可以尝试并保持使用以下方法采取适当的补救措施。

1)GOOGLE密码检查

https://passwords.google.com/

如果您的组织使用Google管理公司电子邮件,则您可以访问Google的密码管理器,其中包括他们的密码检查。该工具最初是作为Chrome的扩展程序于2019年初推出的,此后已添加到用户的Google帐户控件中,它将根据已知漏洞的数据库以及受到主动监控的暗网中的某些区域检查用户凭据由Google提供。所有活动都在本地设备上完成,因此这些检查的结果无法在其他设备上看到或存储。如果用户使用不安全的凭据登录,则将收到警报。

2)数据库检查 

另一种选择是根据已知的违规数据库检查您的员工。最著名的公开数据库是“我被拥有了”(https://haveibeenpwned.com/)。较小的组织可以手动输入电子邮件地址。较大的公司将希望利用其API(付费功能)进行批量检查。任何组织都可以免费使用其域搜索

(https://haveibeenpwned.com/DomainSearch)或通知功能

(https://haveibeenpwned.com/NotifyMe)。

3)密码泄漏监控工具

有许多付费,免费或免费增值工具可用来帮助公司检查相关的电子邮件地址是否已出现在任何已知的泄漏中。这些工具中的许多工具(例如LastPass:https://www.lastpass.com/)都结合了这些功能,作为对密码管理服务的补充。例如,Lastpass中提到的工具将针对数据库检查电子邮件地址列表是否存在泄漏。它们还将显示自您上次更改密码以来哪些网站存在数据泄露的列表。(他们的软件将此列表称为“已损坏”,这意味着您的凭据可能是任何此类泄漏的一部分,尽管这不一定是正确的。)

4)聘请安全顾问和购买服务 

如果您的团队没有时间或资源来对照数据库查看电子邮件地址或使用其他工具,那么将这一至关重要的审核外包可能会很有用。有些可以通过使上面提到的数据库审查过程自动化来帮助您。其他人将集成一些工具,这些工具会主动阻止已知因先前的违规而出现故障的密码(而不会损害相关个人的安全)。

5)直接问你的员工 

到目前为止,防止密码重用和最大程度地减少破坏的最佳方法是无密码,但这个对于大多数公司来说还没有实现。那么最好办法就是与负责密码的人员进行对话。让他们保持无可挑剔的良好密码使用习惯,因为45%的员工甚至都不认为密码重用是一个严重的问题。鼓励您的团队尝试使用自己的电子邮件地址和密码(包括专业密码和个人密码)进行“是否拥有我”的网站检测(https://haveibeenpwned.com/),以查看问题的严重程度。当涉及可共享的凭据时,让您的员工完全理解密码安全的概念对于网络安全至关重要。

(0)

相关推荐