为了帮助企业消灭“弱密码”，芯盾时代搞了点黑科技-电子发烧友网

都3202年了，不会还有人拿“123456”当密码吧？问题的答案让人大跌眼镜。《2022年全球最常用密码》报告显示，“123456”仍旧是全球第二常用的密码。其它常用密码还有“password” “12345678”、“guest”“qwerty”等，都是“弱密码”界的老面孔。如果个人用户使用这些密码，可能导致个人信息泄露、账户被盗转盗刷。如果企业的服务器、业务应用使用它们，黑客可以轻松黑进企业内网，植入病毒木马，窃取机密信息，给企业造成难以估量的损失。

2022全球十大常用密码毫不夸张的说，弱密码一日不除，企业网络一日难安。那么问题来了，企业到底有没有办法彻底消灭弱密码呢？我知道你很急，但是你先别急，让我们慢慢说起~

弱密码为何屡禁不止？

首先，我们来明确一下弱密码的定义：弱密码，通常指容易被别人猜测到或被破解的密码。弱密码普遍具有以下特征：1.密码长度少于8个字符；2.密码是可以在字典中直接发现的单词；3.多为简单的数字组合、帐号与数字组合、键盘上的临近键或常见姓名，例如“123456”、“qwerty”、“lucy”等；4.默认密码，例如无线路由器常见的初始密码admin。

如果你用的密码不具备以上特征，也别高兴太早。2019年的一项针对中英文网民密码比较的研究表明，中文网民最常用的密码是生日和手机号。因为语言的原因，中国网民还喜欢用名字的全拼做密码。姓名全拼，手机号，姓名全拼+手机号，姓名全拼+生日，这些密码你是不是看起来很眼熟？知道了是弱密码，改掉它不就好了吗？个人用户不受控，企业员工还不好管理吗？事情远远没有这么简单。我们不妨还原一下弱密码诞生的过程，了解一下各路人马的心路历程：软件开发商：软件初始密码用我们品牌的全拼，反正客户肯定会改。员工A：又有新业务系统上线了？就和邮箱用同一个密码吧，姓名+生日，要不记不住。员工B：不改，懒……管理员C：只有我一个人登录后台，密码只有我知道，不改也没事。总而言之，员工使用弱密码的理由可以归结为“好敲、好记、懒得改”。这种心理也决定了企业防范弱密码的措施（如限制密码长度，要求密码区大小写、添加符号，强制定期改密等等）往往效果不尽如人意。因为这些措施必然使员工的操作更加繁琐，让企业的安全性和员工的便利性产生对立，员工自然不爱买账。

如何消灭弱密码？

弄清了弱密码为何屡禁不止，消灭弱密码的办法也就呼之欲出：既要简化员工的操作，又要提升密码的强度。但是，这种“既要…又要…”真的可以实现吗？答案是肯定的。因为身份认证的凭据从来不止密码一种。我们每个人都是一座行走的“密码库”，每个人的“所知（我知道的你不知道）、所持（我持有的东西你没有）、所有（我的特征你没有）”，都可以作为身份认证的凭据。“所知、所有、所持”的涵盖范围极广，包括但不限于——所知：密码，PIN码，共享密钥，与自身相关的信息；所持：身份证，护照，智能手机，U盾，安全令牌等；所有：指纹、人脸，虹膜、声纹等生物特征，说话方式、走路方式、打字方式等行为识别。当前广泛应用的密保问题（所知）、银行U盾（所持）、人脸识别（所有）、指纹识别（所有），都在安全性和便利性之间找到了平衡。企业如果能结合员工的“所知、所持、所有”进行身份认证，就有机会彻底消灭弱密码。

芯盾时代IAM，为企业消灭弱密码

结合员工的“所知、所持、所有”进行身份认证，说起来容易，实现起来却并不简单，理念、技术、经验，缺一不可。芯盾时代用户身份和访问管理平台（IAM），基于零信任理念打造，采用增强型身份认证技术、连续自适应风险信任评估技术，帮助用户实现身份、认证、权限、审计的“四个统一”，实现更安全、更便捷的身份认证。

1.创建唯一身份，权限、审计统一管理整合企业零散的组织用户数据，创建唯一用户身份标记，形成权威的组织用户体系，建立自动化流转的用户全生命周期管理机制，让员工使用一个账号登录多个业务应用，减少需要记录、使用的密码数量，实现“一个身份，访问全网”。统一员工身份后，运维人员能够统一设置多个应用的访问权限，统一审计多个应用的访问日志，大幅减少运维量，提升工作效率。2.统一认证管理，安全与体验双优为企业建设应用门户，统一业务应用的登录入口，并借助单点登录功能，让员工只需认证一次，就能登录所有权限内的业务应用，减少员工认证的次数，实现“一次认证，全网通行”。为企业建立移动认证App，结合员工所知、所持、所有进行多因素身份认证，提供密码、App扫码、短信验证码、动态口令、指纹识别、人脸识别等多种认证方式，让员工在进行身份认证时少输密码、甚至不输密码，兼顾企业网络安全与员工操作便利。

3.自研底层技术，保障认证安全为了让身份认证更加安全，芯盾时代自主研发了移动认证技术，通过对智能手机的唯一性识别，证书的安全生成、存储、调用，以及手机安全环境的检测，将智能手机打造成移动U盾，为身份认证营造安全的终端环境。芯盾时代研发了智能终端密码模块，基于传统证书认证方式，结合分割密钥、设备指纹、白盒算法、环境清场等技术，为身份信息的安全存储提供了底层支持，保证员工身份信息更安全的传输、存储，即使员工信息被劫持、被泄露也难以被破译和篡改。有了芯盾时代用户身份和访问管理平台（IAM），企业既能提升身份认证的安全性，又能简化员工的操作体验；既能简化管理、运维工作，又能让员工心甘情愿告别弱密码。如果你的企业也为弱密码而头疼不已，赶紧把芯盾时代用户身份和访问管理平台（IAM）安排上。有了芯盾时代IAM，你的下一个密码，何必是密码~

往期 · 推荐

大公司都在用的用户身份与访问管理平台（IAM），到底好在哪？

IAM中的“权限管理”丨ACL、RBAC、ABAC三大权限管理模型，到底怎么选?

IAM中的“账号委托”丨给权限不给账号，这是什么神操作？

中国日报社×芯盾时代丨以“身份安全”为基石，助力国家级媒体信息化建设

原文标题：为了帮助企业消灭“弱密码”，芯盾时代搞了点黑科技

文章出处：【微信公众号：芯盾时代】欢迎添加关注！文章转载请注明出处。

声明：本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人，不代表电子发烧友网立场。文章及其配图仅供工程师学习之用，如有内容侵权或者其他违规问题，请联系本站处理。举报投诉