信息化觀察網(wǎng)

調(diào)查顯示，91％的人明知在多個(gè)賬戶上使用相同的密碼存在很大安全風(fēng)險(xiǎn)，但仍有66％的人在這么做。

如今在網(wǎng)絡(luò)黑市購買目標(biāo)企業(yè)員工賬戶密碼幾乎成了網(wǎng)絡(luò)攻擊的標(biāo)準(zhǔn)操作，可以大大降低攻擊難度和風(fēng)險(xiǎn)。根據(jù)Verizon的《數(shù)據(jù)違規(guī)調(diào)查報(bào)告》，有81％與黑客相關(guān)的違規(guī)行為都利用了被盜密碼或弱密碼，只需一名員工的弱密碼就可以撬開重兵把守、重金打造的企業(yè)網(wǎng)絡(luò)安全防御體系。

IT安全從業(yè)人員都知道強(qiáng)身份驗(yàn)證和密碼管理良好習(xí)慣的重要性，但由于可用性或易用性問題，密碼“衛(wèi)生習(xí)慣”很難養(yǎng)成，而好的密碼管理解決方案則有助于企業(yè)填補(bǔ)弱密漏洞。

企業(yè)選擇合適的密碼管理解決方案需要考慮多種因素。以下我們整理了幾位網(wǎng)絡(luò)安全專家對(duì)此的見解。

Dashlane B2B增長(zhǎng)負(fù)責(zé)人Simran Anand

密碼是企業(yè)網(wǎng)絡(luò)安全和風(fēng)險(xiǎn)管理鏈條中最薄弱的一環(huán)，因此選擇密碼管理器應(yīng)該是IT決策者的重中之重。盡管這個(gè)問題在大多數(shù)人眼里似乎是顯而易見的：安全性（高級(jí)加密、2FA等）、服務(wù)支持和價(jià)格，但這里需要強(qiáng)調(diào)的是最終用戶的體驗(yàn)，這一點(diǎn)至關(guān)重要。因?yàn)橛脩舨捎寐嗜匀皇荌T部門最大的挑戰(zhàn)。在評(píng)估密碼管理工具時(shí)，只有17％的IT主管將用戶體驗(yàn)列入考核指標(biāo)。

因此，毫不奇怪的是，那些在公司中部署了密碼管理器的人報(bào)告員工采用率只有23％。對(duì)于那些希望為其公司保證安全流程的IT領(lǐng)導(dǎo)者而言，最終用戶體驗(yàn)必須是優(yōu)先事項(xiàng)。

密碼管理作為安全鏈中的一個(gè)至關(guān)重要的環(huán)節(jié)，不能因缺乏采用而導(dǎo)致效能大打折扣（僅告訴員工遵循良好的密碼習(xí)慣并不足以杜絕安全陋習(xí)）。為了使企業(yè)能夠利用下一代密碼安全性的好處，他們需要確保其密碼管理解決方案易于使用，并被所有員工采用。

LogMeIn首席信息安全官Gerald Beuchelt

未來很長(zhǎng)一段時(shí)間，全球的遠(yuǎn)程辦公將成為新常態(tài)，網(wǎng)絡(luò)犯罪分子將首先從安全衛(wèi)生習(xí)慣糟糕的員工身上下手。盡管企業(yè)和員工，甚至包括高級(jí)管理層都知道密碼整體安全性中扮演著重要的角色，但許多人仍在忽略最佳密碼規(guī)范做法，因此，企業(yè)應(yīng)實(shí)施密碼管理解決方案來固化好的安全習(xí)慣和密碼規(guī)范。

選擇密碼管理解決方案時(shí)主要關(guān)注以下幾點(diǎn)：

·能夠監(jiān)視不良的密碼衛(wèi)生習(xí)慣，并提供可視化的改進(jìn)措施，以鼓勵(lì)更好的密碼管理。

·在整個(gè)組織中的標(biāo)準(zhǔn)化和實(shí)施策略，以提供足夠的密碼保護(hù)強(qiáng)度。

·提供一個(gè)安全的密碼管理門戶，使員工可以方便地訪問所有帳戶密碼。

·提供有關(guān)潛在威脅的詳細(xì)安全報(bào)告。

·使IT部門能夠?qū)徍擞脩艟哂械脑L問控制權(quán)限，從而可以更改權(quán)限并鼓勵(lì)使用新密碼。

·與以前和現(xiàn)有的基礎(chǔ)架構(gòu)集成，以自動(dòng)化和加速工作流程。

·監(jiān)督用戶何時(shí)共享賬戶，以保持安全感和責(zé)任感。

總之，使用有效的密碼管理解決方案對(duì)于保護(hù)業(yè)務(wù)信息至關(guān)重要。尋找正確的解決方案不僅有助于改善員工的密碼行為，還可以提高組織的整體在線安全性。

Bitwarden首席執(zhí)行官M(fèi)ichael Crandell

員工每天在線工作時(shí)都需要記憶大量高強(qiáng)度密碼，無疑是一個(gè)巨大的挑戰(zhàn)。密碼管理器簡(jiǎn)化了復(fù)雜密碼的生成、存儲(chǔ)和共享，這是實(shí)現(xiàn)密碼安全性的必備條件。

市場(chǎng)上有許多信譽(yù)良好的密碼管理器，企業(yè)應(yīng)優(yōu)先考慮可跨平臺(tái)工作并且收費(fèi)合理的產(chǎn)品。企業(yè)還應(yīng)該考慮該解決方案是否可以部署在云中或本地。出于安全性和內(nèi)部合規(guī)性的原因，某些企業(yè)通常會(huì)首選本地部署方式。

無論是對(duì)于初學(xué)者還是高級(jí)用戶，密碼管理器都必須易于使用。任何員工都應(yīng)該能夠在幾分鐘內(nèi)在其設(shè)備上啟動(dòng)并運(yùn)行。

最近，許多企業(yè)已經(jīng)轉(zhuǎn)向遠(yuǎn)程工作模型，這突出了在線協(xié)作的重要性以及在線共享工作資源的需求?？紤]到這一點(diǎn)，企業(yè)應(yīng)優(yōu)先考慮提供安全方法以在團(tuán)隊(duì)之間共享密碼的方案，確保分散的遠(yuǎn)程團(tuán)隊(duì)中每個(gè)人的訪問安全。

最后，可以嘗試尋找基于開源代碼開發(fā)的密碼管理器。開源意味著源代碼可以由經(jīng)驗(yàn)豐富的開發(fā)人員和安全研究人員審核，他們可以識(shí)別潛在的安全問題，甚至為解決這些問題做出貢獻(xiàn)。

今年6月份，蘋果公司發(fā)布了一組面向密碼管理器開發(fā)者（包括整個(gè)APP開發(fā)生態(tài)）的免費(fèi)資源和工具。這些工具資源統(tǒng)稱Password Manager Resources，目前已經(jīng)在Github上開源。解決了開發(fā)者的一個(gè)頭疼問題：密碼管理器生成的強(qiáng)密碼很多時(shí)候無法與網(wǎng)站密碼規(guī)則匹配。（編者按：例如很多網(wǎng)站支持的密碼長(zhǎng)度不一，有的支持64+字符數(shù)的長(zhǎng)密碼，有的僅支持不到20字符的短密碼）

1Password首席運(yùn)營(yíng)官M(fèi)att Davey

65％的人會(huì)重復(fù)使用部分或全部賬戶的密碼。通常，這是因?yàn)樗麄儧]有正確的工具來輕松創(chuàng)建和使用強(qiáng)密碼，這就是為什么需要密碼管理器的原因。

一個(gè)好的密碼管理器可讓您監(jiān)督對(duì)企業(yè)最重要的事情：來自誰的登錄賬戶，上次訪問特定項(xiàng)目的人員，或您域中的哪個(gè)電子郵件地址已包含在違規(guī)行為中。

密碼管理器還可以減輕管理員的負(fù)擔(dān)，能夠按組管理訪問，委派管理員權(quán)限并大規(guī)模管理用戶。根據(jù)企業(yè)的業(yè)務(wù)結(jié)構(gòu)，按項(xiàng)目，位置或團(tuán)隊(duì)授予對(duì)信息的訪問權(quán)限是值得推薦的做法。

您還需要考慮密碼管理器如何適合您現(xiàn)有的IAM/安全技術(shù)堆棧。一些密碼管理器與身份提供商集成，從而簡(jiǎn)化了配置和管理。

最重要的是，如果您希望員工采用密碼管理器，請(qǐng)確保它易于使用：只有您的員工實(shí)際使用了密碼管理器，其安全性才能發(fā)揮作用。