本文来自安全牛。
在保护企业网络安全的战场上,密码技术一直都站在最前沿。但密码技术本身,也有着易遭破解、难于记忆、管理不便等不足和应用挑战。一旦企业中的密码被攻击者非法获取,它们就会成为威胁企业数字化发展的重大威胁隐患,为潜在的网络入侵和数据盗窃打开大门。为了最大程度地提升密码应用安全性,企业应了解并遵循以下密码安全最佳实践:
01
建立强密码应用策略
避免设置弱密码对于保护用户账户不受未经授权的访问至关重要。美国国家标准与技术研究所(NIST)建议组织尽可能创建高强度和复杂的密码,这些密码既要难于破解,又要便于记忆。同时,要避免重复使用密码,每个账户都应该有一个唯一的密码,以防止单个密码泄露后危及多个帐户的安全性。
02
使用专用的密码管理器
如果没有适当的密码管理工具,为每个帐户维护独特而复杂的密码是难以落地实现的。在企业中高效管理密码的最有效方法就是使用专用的密码管理器。可靠的密码管理工具可以自动化创建、更新和共享密码。还会记录所有与密码应用有关的活动,并提供详细的使用报告,让企业监视和审计密码的使用情况,确保遵守安全策略并识别潜在的密码应用漏洞。
03
确保密码被安全存储
将密码保存在安全的保险库中并对其进行加密是基本的密码管理要求。密码储存是密码管理工具的主要功能之一。它是一个集中的加密数据库,用于存储密码,只允许授权用户访问密码。密码保险库需要使用强大的加密算法,使得无法破译存储在里面的密码,以防攻击者非法进入保险库。另外,为一些关键的密码添加额外的安全防护措施也是至关重要的。企业应该确保超级管理员密码受到额外的身份验证保护。
04
定期更新密码
密码轮换是一种非常有效的安全措施,特别是在部分密码因数据泄露或网络攻击而受到损害时,这一点至关重要。企业应该将定期更新密码作为常规操作,比如每三到六个月更新一次,并且在安全攻击事件后立即人工更新。
05
提供安全的密码恢复措施
确保用户能够安全地恢复密码对于维护密码应用安全也是必不可少的。在企业的密码恢复措施中,应该包括向用户验证的电子邮件地址或手机发送一个独特的、具有时间敏感性的代码。企业还应该将MFA策略纳入到密码恢复流程中。
06
对用户隐藏密码明文
隐藏密码明文可以增加一层应用安全性。很多密码管理工具都可以自动填写登录凭据,而不需要向用户透露具体的密码明文。通过利用此功能,企业可以最大程度地降低密码意外暴露或被恶意软件工具破解的安全风险。在很多高级密码管理工具中,都会允许用户自动创建和旋转密码,而用实际看到它们。这可以大大降低用户与未经授权的人员或外部人员共享凭据的风险。
07
对员工进行密码安全教育
人的因素是企业在密码应用中最薄弱的安全性环节之一。因此,创建严格的密码策略并确保员工知晓这些策略至关重要。企业应该定期组织安全培训,让员工了解如何识别和应对钓鱼企图和其他类型的密码攻击。此外,定期检查和更新密码策略以适应不断变化的威胁态势也是非常重要的。
08
全面监测密码应用活动
有效的密码管理需要对所有帐户的密码活动进行持续监控。当企业定期跟踪登录尝试、密码更改和访问模式时,就可以及早发现异常或未经授权的活动,并及时应对潜在的安全威胁。通过异常密码应用信息,企业不仅可以防止未经授权的访问,还可以快速识别和缓解潜在的安全漏洞。
参考链接:
https://www.ekransystem.com/en/blog/password-management-best-practices