Mục lục:
- Lưu trữ mật khẩu
- Là một hacker có đạo đức, bạn nên cho người dùng thấy tầm quan trọng của việc bảo vệ mật khẩu. Dưới đây là một số mẹo về cách thực hiện:
- Dưới đây là một số biện pháp đối phó hacker có mật khẩu khác:
Video: VinaHost.vn | Hướng dẫn bảo vệ Website Wordpress chống tấn công Brute Force 2025
Thực hiện một số biện pháp đối phó tổng quát có thể ngăn cản việc hack các mật khẩu quan trọng của bạn. Mật khẩu cho một hệ thống thường bằng mật khẩu cho nhiều hệ thống khác vì nhiều người sử dụng cùng mật khẩu trên mọi hệ thống mà họ sử dụng. Vì lý do này, bạn nên xem xét hướng dẫn người dùng tạo mật khẩu khác nhau cho các hệ thống khác nhau, đặc biệt là trên các hệ thống bảo vệ thông tin nhạy cảm hơn.
Nhược điểm duy nhất là người dùng phải giữ nhiều mật khẩu và do đó có thể bị cám dỗ để viết xuống, có thể phủ nhận bất kỳ lợi ích nào.
Lưu trữ mật khẩu
Nếu bạn phải chọn giữa các mật khẩu yếu mà người dùng của bạn có thể ghi nhớ và mật khẩu mạnh mà người dùng của bạn phải ghi lại, hãy yêu cầu người đọc viết mật khẩu và lưu trữ thông tin một cách an toàn. Đào tạo người sử dụng để lưu trữ mật khẩu của họ bằng văn bản ở một nơi an toàn - không phải trên bàn phím hoặc trong các tập tin máy tính được bảo vệ bằng mật khẩu dễ dàng bị nứt. Người dùng nên lưu trữ một mật khẩu bằng văn bản ở một trong các địa điểm sau:
Tệp tin bị khóa hoặc văn phòng an toàn-
Mã hóa toàn bộ đĩa (toàn bộ) có thể ngăn cản kẻ đột nhập truy cập hệ điều hành và mật khẩu được lưu trữ trên hệ thống.
-
Một công cụ quản lý mật khẩu bảo mật như
-
LastPass
-
Password Safe, một phần mềm nguồn mở ban đầu được phát triển bởi Counterpane
-
Chính sách về mật khẩu
-
Là một hacker có đạo đức, bạn nên cho người dùng thấy tầm quan trọng của việc bảo vệ mật khẩu. Dưới đây là một số mẹo về cách thực hiện:
-
Tham khảo dưới dạng cụm từ mật khẩu bởi vì mọi người thường có ý nghĩa mật khẩu theo nghĩa đen và chỉ sử dụng các từ mà có thể ít an toàn hơn. Hiển thị những gì có thể xảy ra khi sử dụng mật khẩu yếu hoặc mật khẩu được chia sẻ.
-
Tháo gỡ sự hiểu biết của người dùng về các cuộc tấn công kỹ thuật xã hội.
-
Thực thi (hoặc ít nhất là khuyến khích sử dụng) chính sách tạo mật khẩu mạnh bao gồm các tiêu chí sau:
Sử dụng chữ cái viết thường và chữ thường, ký tự đặc biệt và số.
-
Không bao giờ chỉ sử dụng số. Mật khẩu như vậy có thể được nứt nhanh chóng. Chữ từ viết hoa hoặc tạo từ viết tắt từ một câu hoặc một câu.
-
Ví dụ: ASCII là viết tắt của Bộ tiêu chuẩn Hoa Kỳ để trao đổi thông tin cũng có thể được sử dụng như một phần của mật khẩu. Sử dụng các ký tự chấm câu để tách từ hoặc từ viết tắt.
-
Thay đổi mật khẩu từ 6 đến 12 tháng một lần hoặc ngay lập tức nếu họ nghi ngờ bị xâm nhập.
-
Mọi thứ thường xuyên hơn sẽ giới thiệu sự bất tiện chỉ phục vụ cho việc tạo ra nhiều lỗ hổng. Sử dụng các mật khẩu khác nhau cho mỗi hệ thống.
-
Điều này đặc biệt quan trọng đối với máy chủ cơ sở hạ tầng mạng, chẳng hạn như máy chủ, tường lửa và bộ định tuyến. Bạn cũng có thể sử dụng mật khẩu tương tự - chỉ cần làm cho chúng khác nhau một chút cho từng loại hệ thống, chẳng hạn như SummerInTheSouth-Win7 cho các hệ thống Windows và Linux + SummerInTheSouth cho các hệ thống Linux. Sử dụng mật khẩu có độ dài biến đổi.
-
Thủ thuật này có thể vứt bỏ kẻ tấn công bởi vì họ sẽ không biết mật khẩu yêu cầu tối thiểu hoặc tối đa cần thiết và phải thử tất cả các kết hợp độ dài mật khẩu. Không sử dụng những từ lóng phổ biến hoặc những từ có trong một từ điển.
-
Không dựa hoàn toàn vào các ký tự tương tự như
-
3 thay vì E, 5 thay vì S, hoặc ! thay vì 1. Các chương trình crack-password có thể kiểm tra. Không sử dụng lại cùng một mật khẩu trong vòng ít nhất bốn đến năm lần thay đổi mật khẩu.
-
Sử dụng các trình bảo vệ màn hình được bảo vệ bằng mật khẩu.
-
Mở khóa màn hình là một cách tuyệt vời cho các hệ thống bị tổn hại ngay cả khi ổ cứng của họ được mã hóa. Không chia sẻ mật khẩu.
-
Mỗi người mỗi người! Tránh lưu trữ mật khẩu người dùng ở vị trí trung tâm không an toàn
-
, chẳng hạn như bảng tính không được bảo vệ trên ổ cứng. Đây là lời mời thảm họa. Sử dụng Mật khẩu an toàn hoặc một chương trình tương tự để lưu mật khẩu người dùng. Các biện pháp đối phó khác
Dưới đây là một số biện pháp đối phó hacker có mật khẩu khác:
Cho phép kiểm tra an ninh để giúp theo dõi và theo dõi các cuộc tấn công bằng mật khẩu.
-
Kiểm tra ứng dụng của bạn để chắc chắn rằng chúng không lưu trữ mật khẩu vô thời hạn trong bộ nhớ hoặc ghi chúng vào đĩa.
-
Một công cụ tốt cho việc này là WinHex. Giữ hệ thống của bạn vá.
-
Mật khẩu được đặt lại hoặc bị xâm nhập trong tràn bộ đệm hoặc các điều kiện từ chối dịch vụ khác (DoS). Biết ID người dùng của bạn.
-
Nếu tài khoản chưa từng được sử dụng, hãy xóa hoặc vô hiệu hóa tài khoản cho đến khi cần thiết. Bạn có thể xác định tài khoản chưa sử dụng bằng cách kiểm tra thủ công hoặc bằng cách sử dụng một công cụ như DumpSec, một công cụ có thể liệt kê hệ điều hành Windows và thu thập ID người dùng và các thông tin khác. Với tư cách là quản trị viên bảo mật trong tổ chức của bạn, bạn có thể kích hoạt
khóa tài khoản để ngăn chặn các nỗ lực phá vỡ mật khẩu. Khóa tài khoản là khả năng khóa tài khoản người dùng trong một khoảng thời gian nhất định sau khi một số lần đăng nhập không thành công đã xảy ra. Hầu hết các hệ điều hành đều có khả năng này. Đừng đặt quá thấp và không đặt quá cao để cho người dùng độc hại có cơ hội thâm nhập lớn hơn Một nơi nào đó giữa 5 và 50 có thể làm việc cho bạn. Hãy xem xét những điều sau khi cấu hình khóa tài khoản trên hệ thống của bạn:
Để sử dụng khóa tài khoản để ngăn chặn bất kỳ khả năng nào của tình trạng DoS người dùng, yêu cầu hai mật khẩu khác nhau và không đặt thời gian khóa cho tài khoản đầu tiên nếu có tính năng đó trong hệ điều hành của bạn.
-
Nếu bạn cho phép tự động thu hồi tài khoản sau một khoảng thời gian nhất định - thường được gọi là
-
khóa đột nhập - không đặt khoảng thời gian ngắn.Ba mươi phút thường hoạt động tốt. Số đăng nhập không thành công có thể tăng bảo mật mật khẩu và giảm thiểu các tác động tổng thể của khóa tài khoản nếu tài khoản gặp một cuộc tấn công tự động. Một đăng nhập truy cập có thể buộc một sự thay đổi mật khẩu sau khi một số nỗ lực không thành công. Nếu số lần đăng nhập thất bại cao và xảy ra trong một khoảng thời gian ngắn, tài khoản có thể đã gặp phải một cuộc tấn công bằng mật khẩu tự động.
Các biện pháp đối phó bảo vệ mật khẩu khác bao gồm
Phương pháp xác thực mạnh hơn.
-
Ví dụ về những thách thức / phản ứng, thẻ thông minh, mã thông báo, sinh trắc học, hoặc chứng chỉ số. Tự động đặt lại mật khẩu.
-
Chức năng này cho phép người dùng quản lý hầu hết các vấn đề về mật khẩu mà không làm cho người khác tham gia. Nếu không, vấn đề hỗ trợ này trở nên đắt đỏ, đặc biệt đối với các tổ chức lớn hơn. Bảo vệ mật khẩu cho BIOS hệ thống.
-
Điều này đặc biệt quan trọng trên các máy chủ và máy tính xách tay dễ bị tổn thương về các nguy cơ bảo mật vật lý và các lỗ hổng bảo mật.
