信息化觀察網(wǎng)

過去，為賬戶設(shè)置密碼很容易：寵物的名字+周年紀(jì)念日或生日，搞定！此后，為記憶起見，您可以重復(fù)使用該密碼或與之十分接近的變體。

遺憾的是，隨著Facebook數(shù)據(jù)泄密以及黑客從Equifax到LinkedIn侵入許多公司系統(tǒng)的事件不斷發(fā)生，我們應(yīng)該加大對密碼的關(guān)注力度。我們都知道密碼最佳實(shí)踐是什么—使用隨機(jī)詞為每個(gè)賬戶設(shè)置唯一密碼并經(jīng)常進(jìn)行更改—但是我們大多數(shù)人都沒有這樣做。

BMC Helix-塑造未來的服務(wù)和運(yùn)營管理環(huán)境

BMC Helix是第一個(gè)也是唯一一個(gè)將智能性全方位集成在其中的端到端服務(wù)和運(yùn)營平臺(tái)。該平臺(tái)專為云計(jì)算而構(gòu)建，旨在打造無與倫比的全新服務(wù)和運(yùn)營體驗(yàn)，可為您提供：

●同時(shí)用于ITSM和ITOM功能的單一窗格

●針對ITIL®4進(jìn)行了優(yōu)化處理的BMC Helix ITSM

●全企業(yè)服務(wù)，包括IT、人力資源、設(shè)施和采購

●跨越Slack、Chatbot和Skype等對象的全渠道體驗(yàn)

●適用于貴公司的云原生微服務(wù)平臺(tái)

●借助會(huì)話式機(jī)器人和RPA機(jī)器人實(shí)現(xiàn)自動(dòng)化

●超過7,500家IT組織信任BMC ITSM解決方案。查看原因并進(jìn)一步了解BMC Helix›

但對企業(yè)而言，密碼管理是至關(guān)重要的。弱密碼可能會(huì)將公司的重要數(shù)據(jù)和專有信息暴露給世界各地的黑客。對于企業(yè)密碼管理，企業(yè)鼓勵(lì)員工采用與個(gè)人密碼管理相同的最佳實(shí)踐。

但是，近期開展的調(diào)研顯示，這些工具不一定有所幫助。實(shí)際上，它們甚至有可能損害貴公司的安全。在安全專家建議采取的新的實(shí)踐方法中，有些與傳統(tǒng)的密碼衛(wèi)生習(xí)慣相悖，另一些則將密碼保護(hù)責(zé)任從員工或最終用戶身上移交給企業(yè)。讓我們一探究竟。

當(dāng)前的密碼管理機(jī)制不起作用

眾所周知，每個(gè)密碼都應(yīng)該是隨機(jī)長密碼，最好每個(gè)賬戶都有唯一密碼，從而導(dǎo)致我們很容易擁有幾十個(gè)密碼。在工作中，您可能需要記住1到20個(gè)密碼，這很困難。根據(jù)最佳實(shí)踐，您每個(gè)月都要修改并記住所有這些密碼，相當(dāng)于您需要記住一個(gè)新的660位數(shù)。

復(fù)用密碼或堅(jiān)持使用常用詞的問題在于這些密碼相對而言特別容易被黑客破解，全世界的黑客都樂此不疲。那么，企業(yè)應(yīng)如何管理密碼呢？員工的責(zé)任有多大？

企業(yè)保護(hù)網(wǎng)絡(luò)安全經(jīng)常出于恐懼。但專家警告說，因?yàn)楹ε露扇⌒袆?dòng)無濟(jì)于事，正確的做法應(yīng)是考慮與網(wǎng)絡(luò)安全相關(guān)的數(shù)據(jù)。HaveIBeenPwned是對世界各地的電子郵件和企業(yè)級(jí)黑客行為進(jìn)行廣泛跟蹤的頗受歡迎的網(wǎng)站。通過匯編跟蹤數(shù)據(jù)，該網(wǎng)站能夠提醒用戶他們的電子郵件和其他個(gè)人數(shù)據(jù)在哪種情況下容易遭遇黑客攻擊。例如，密碼“123456”至少已被攻擊了2,300萬次。

當(dāng)企業(yè)強(qiáng)制要求員工每月或每季度更改一次密碼時(shí)，反而可能會(huì)威脅到密碼安全性。

這種腦力消耗導(dǎo)致大多數(shù)用戶選擇最簡單的途徑，從而產(chǎn)生弱密碼。此類密碼使用常用詞和數(shù)字來代替字母，無法達(dá)到必要的安全級(jí)別（A=4、E=3和O=0等等），因此，黑客通過簡單的蠻力攻擊便可侵入。

安全專家警告說，企業(yè)必須停止將密碼安全問題歸咎于員工，而是應(yīng)該設(shè)法改進(jìn)其基礎(chǔ)架構(gòu)。然后，企業(yè)應(yīng)為員工提供做決策所需的必要信息。

例如，如果一名員工已經(jīng)部署了密碼管理系統(tǒng)，為每個(gè)賬戶創(chuàng)建了長而復(fù)雜的隨機(jī)密碼，那么，該密碼被黑客入侵的可能性就會(huì)大大降低–何必還要強(qiáng)迫該名員工更改密碼呢？

企業(yè)密碼管理的最佳實(shí)踐

完善的企業(yè)密碼管理機(jī)制必須涵蓋兩種策略：自上而下的基礎(chǔ)架構(gòu)方法和員工級(jí)方法。

以下是企業(yè)全面提高密碼管理效率的常用方法：

■盡量減少系統(tǒng)對密碼的使用

考慮通過單點(diǎn)登錄系統(tǒng)或密碼同步來替代多個(gè)密碼。僅對需要安全訪問的系統(tǒng)設(shè)置密碼。

■針對常用密碼選項(xiàng)制作黑名單

從HaveIBeenPwned的10萬個(gè)最常被黑詞入手。

■監(jiān)控奇怪的登錄嘗試并通知用戶

將成功和失敗的登錄企圖告知員工，以便他們可將任何的冒名頂替登錄上報(bào)給公司。

■10次密碼輸入錯(cuò)誤后鎖定賬戶

這可以防止蠻力攻擊。

■只有在您懷疑密碼已被破解時(shí)才要求員工更改密碼

不必要的密碼更改會(huì)生成弱密碼。

■為員工提供管理密碼方法

無論是將文件鎖在超級(jí)安全文件柜中的物理方法，還是LastPass、Keeper Business或Dashlane Business等密碼管理軟件的數(shù)字方法。（您可能已經(jīng)開始使用提供這些服務(wù)的軟件。）盡管這些數(shù)字解決方案可能會(huì)成為黑客的攻擊目標(biāo)，但由于用戶只需要記住一個(gè)唯一密碼，因此它們更難被破解。

■防止共享密碼

很少被使用的系統(tǒng)通常只有一個(gè)員工共享密碼，這是有風(fēng)險(xiǎn)的。正確的做法是為其部署諸如RFID徽章之類的硬件令牌。

■及時(shí)更新軟件

軟件更新包中經(jīng)常包含重要的安全補(bǔ)丁。

■在部署系統(tǒng)之前更改默認(rèn)密碼

新軟件通常都帶有“password1”或“User1”等易于破解的標(biāo)準(zhǔn)密碼。

■搜索使用純文本密碼的員工文件

員工在保存文檔或電子郵件時(shí)經(jīng)常使用與工作相關(guān)的純文本密碼。這些文件通過一些標(biāo)準(zhǔn)搜索即可輕松找到。如果員工正在使用此種方法，則必須要求其對文本進(jìn)行加密。

自上而下的策略還要求企業(yè)必須直接向用戶傳達(dá)最佳實(shí)踐，這一點(diǎn)同時(shí)適用于企業(yè)賬戶和個(gè)人賬戶：

■樹立密碼意識(shí)

解釋貴公司的新密碼管理策略：您所開展的所有自上而下的活動(dòng)以及對員工的新要求。當(dāng)員工了解了變更原因后，他們會(huì)更容易接受變更-您也賦予了他們選擇更可靠密碼的能力和責(zé)任。

■鼓勵(lì)使用特定類型的密碼

安全專家建議將四個(gè)不常見的隨機(jī)字典詞串在一起，或者使用諸如CVC-CVC-CVC-CVC之類的模式來表示輔音-元音-輔音。

■注意網(wǎng)站是否加密

用戶切勿在未加密的網(wǎng)站上輸入密碼或個(gè)人信息。瀏覽器search字段中顯示鎖定圖標(biāo)即代表該網(wǎng)站已被加密；否則代表該網(wǎng)站未被加密。

■鎖定電腦屏幕

這可確保只有經(jīng)過批準(zhǔn)的員工才能訪問允許訪問的系統(tǒng)。

定期提醒用戶良好的密碼管理不應(yīng)再是貴公司的第一道防線，取而代之的應(yīng)是企業(yè)級(jí)和員工級(jí)最佳實(shí)踐。這樣，定期提醒便成了通向密碼安全的最后一步良好舉措。