过去,为账户设置密码很容易:宠物的名字+周年纪念日或生日,搞定!此后,为记忆起见,您可以重复使用该密码或与之十分接近的变体。
遗憾的是,随着Facebook数据泄密以及黑客从Equifax到LinkedIn侵入许多公司系统的事件不断发生,我们应该加大对密码的关注力度。我们都知道密码最佳实践是什么—使用随机词为每个账户设置唯一密码并经常进行更改—但是我们大多数人都没有这样做。
BMC Helix-塑造未来的服务和运营管理环境
BMC Helix是第一个也是唯一一个将智能性全方位集成在其中的端到端服务和运营平台。该平台专为云计算而构建,旨在打造无与伦比的全新服务和运营体验,可为您提供:
●同时用于ITSM和ITOM功能的单一窗格
●针对ITIL®4进行了优化处理的BMC Helix ITSM
●全企业服务,包括IT、人力资源、设施和采购
●跨越Slack、Chatbot和Skype等对象的全渠道体验
●适用于贵公司的云原生微服务平台
●借助会话式机器人和RPA机器人实现自动化
●超过7,500家IT组织信任BMC ITSM解决方案。查看原因并进一步了解BMC Helix›
但对企业而言,密码管理是至关重要的。弱密码可能会将公司的重要数据和专有信息暴露给世界各地的黑客。对于企业密码管理,企业鼓励员工采用与个人密码管理相同的最佳实践。
但是,近期开展的调研显示,这些工具不一定有所帮助。实际上,它们甚至有可能损害贵公司的安全。在安全专家建议采取的新的实践方法中,有些与传统的密码卫生习惯相悖,另一些则将密码保护责任从员工或最终用户身上移交给企业。让我们一探究竟。
当前的密码管理机制不起作用
众所周知,每个密码都应该是随机长密码,最好每个账户都有唯一密码,从而导致我们很容易拥有几十个密码。在工作中,您可能需要记住1到20个密码,这很困难。根据最佳实践,您每个月都要修改并记住所有这些密码,相当于您需要记住一个新的660位数。
复用密码或坚持使用常用词的问题在于这些密码相对而言特别容易被黑客破解,全世界的黑客都乐此不疲。那么,企业应如何管理密码呢?员工的责任有多大?
企业保护网络安全经常出于恐惧。但专家警告说,因为害怕而采取行动无济于事,正确的做法应是考虑与网络安全相关的数据。HaveIBeenPwned是对世界各地的电子邮件和企业级黑客行为进行广泛跟踪的颇受欢迎的网站。通过汇编跟踪数据,该网站能够提醒用户他们的电子邮件和其他个人数据在哪种情况下容易遭遇黑客攻击。例如,密码“123456”至少已被攻击了2,300万次。
当企业强制要求员工每月或每季度更改一次密码时,反而可能会威胁到密码安全性。
这种脑力消耗导致大多数用户选择最简单的途径,从而产生弱密码。此类密码使用常用词和数字来代替字母,无法达到必要的安全级别(A=4、E=3和O=0等等),因此,黑客通过简单的蛮力攻击便可侵入。
安全专家警告说,企业必须停止将密码安全问题归咎于员工,而是应该设法改进其基础架构。然后,企业应为员工提供做决策所需的必要信息。
例如,如果一名员工已经部署了密码管理系统,为每个账户创建了长而复杂的随机密码,那么,该密码被黑客入侵的可能性就会大大降低–何必还要强迫该名员工更改密码呢?
企业密码管理的最佳实践
完善的企业密码管理机制必须涵盖两种策略:自上而下的基础架构方法和员工级方法。
以下是企业全面提高密码管理效率的常用方法:
■尽量减少系统对密码的使用
考虑通过单点登录系统或密码同步来替代多个密码。仅对需要安全访问的系统设置密码。
■针对常用密码选项制作黑名单
从HaveIBeenPwned的10万个最常被黑词入手。
■监控奇怪的登录尝试并通知用户
将成功和失败的登录企图告知员工,以便他们可将任何的冒名顶替登录上报给公司。
■10次密码输入错误后锁定账户
这可以防止蛮力攻击。
■只有在您怀疑密码已被破解时才要求员工更改密码
不必要的密码更改会生成弱密码。
■为员工提供管理密码方法
无论是将文件锁在超级安全文件柜中的物理方法,还是LastPass、Keeper Business或Dashlane Business等密码管理软件的数字方法。(您可能已经开始使用提供这些服务的软件。)尽管这些数字解决方案可能会成为黑客的攻击目标,但由于用户只需要记住一个唯一密码,因此它们更难被破解。
■防止共享密码
很少被使用的系统通常只有一个员工共享密码,这是有风险的。正确的做法是为其部署诸如RFID徽章之类的硬件令牌。
■及时更新软件
软件更新包中经常包含重要的安全补丁。
■在部署系统之前更改默认密码
新软件通常都带有“password1”或“User1”等易于破解的标准密码。
■搜索使用纯文本密码的员工文件
员工在保存文档或电子邮件时经常使用与工作相关的纯文本密码。这些文件通过一些标准搜索即可轻松找到。如果员工正在使用此种方法,则必须要求其对文本进行加密。
自上而下的策略还要求企业必须直接向用户传达最佳实践,这一点同时适用于企业账户和个人账户:
■树立密码意识
解释贵公司的新密码管理策略:您所开展的所有自上而下的活动以及对员工的新要求。当员工了解了变更原因后,他们会更容易接受变更-您也赋予了他们选择更可靠密码的能力和责任。
■鼓励使用特定类型的密码
安全专家建议将四个不常见的随机字典词串在一起,或者使用诸如CVC-CVC-CVC-CVC之类的模式来表示辅音-元音-辅音。
■注意网站是否加密
用户切勿在未加密的网站上输入密码或个人信息。浏览器search字段中显示锁定图标即代表该网站已被加密;否则代表该网站未被加密。
■锁定电脑屏幕
这可确保只有经过批准的员工才能访问允许访问的系统。
定期提醒用户良好的密码管理不应再是贵公司的第一道防线,取而代之的应是企业级和员工级最佳实践。这样,定期提醒便成了通向密码安全的最后一步良好举措。