被無視的密碼政策:避免員工密碼外洩 (上)
企業的安全管理可以說是一個惡性循環,當某種危險行為發生時,企業就會增加一個新的安全政策,這無形中就增加了用戶在實際工作中的阻力,員工開始尋求解決方法加快完成工作,然後就出現了安全違規行為的一個缺口……周而復始,安全政策的執行一直受到內外兩種勢力所挑戰。
你有張良計 員工有翻牆梯
許多用戶管理多個網站帳戶,雖然很多服務供應商已強制要求採用複雜密碼組合,令用戶記憶時難度增加,登入時難免會感到困惑。應對方法是多網站共用同一密碼。這樣,一旦其中任何一處網站的密碼遭洩露,那麼,所有這些帳戶就可能都受到影響,包括那些與工作相關的帳戶。
一些企業正在通過減少使用者的密碼數量來解決這問題,利用密碼管理工具來管理他們的密碼,並切換到更人性化的第二認證系統,如採用智能手機應用進行登入確認。以下是企業可以作為參考解決問題的五種方法:
1、基於雲的密碼管理服務
單點登錄對於一家實施集中管理的企業是足夠的,而當試圖將其強加在一些獨立於中控管理環境的部門則幾乎是不可能的。這正是 Rotary International 所面臨的密碼問題,這家全球性的服務機構擁有 120 萬會員,擁有 34000 家不同的俱樂部。由於這些成員俱樂部都是獨立於總部的管控環境之外的,因此萬一一處俱樂部系統的用戶有一個登錄名和密碼,而到另一區域的網站又有另一套相關的帳戶密碼,而國家地域級別的網站又有一套單純的帳戶密碼,甚至對於流動應用程式和相關配套開發的其他服務,又有一套密碼系統。
這無疑是相當混亂的。Rotary International CIO Peter 也認同問題存在。最大挑戰是要在整個企業範圍內進行安全更新,包括那些獨立於總部管理環境的俱樂部網站,這原因令他們開始採用身份和登陸管理的雲服務,提供安全即服務。本地的俱樂部可以發送登錄請求到上層,其可以作為中央的樞紐連接其所有的俱樂部成員。簡化了俱樂部的管理。無需自行管理自己的用戶,也大大方便了俱樂部的成員,使整個組織的資源能夠方便的在全球登錄使用。
過程中最難的部分是將分散的個別俱樂部納入到統一的使用者管理系統,大約 8000 家俱樂部使用了現成的俱樂部管理軟件,都能夠採用安全即服務了。另外 1000 家左右的俱樂部切換到自己的管理系統。使用率低、普及度慢,但隨著技術本身不停的優化,其部署及使用率已逐步提升。但仍然有很多俱樂部並不願意放棄他們的控制權。
Rotary 也正在改變其本身看待密碼的方式,尋求擺脫僅僅依靠由特殊字元、大寫字母、數字和增加密碼字元長度的方法,反而開始鼓勵使用短語。這樣的密碼長度足夠,能夠提供足夠的密碼安全,而成員將更容易記住這種短語型的密碼。
2、現成的密碼管理軟件
Secure-24 也同樣面臨著密碼管理的問題,他們需要為客戶進行密碼管理,而這些客戶需確保自己能安全地登入他們的系統。客戶會要求不同的伺服器,不同的技術創造密碼,但他們又不想讓我們知道這些密碼,或將其保存或記住這些密碼。
為了解決這個要求,Secure-24 採用 Thycotic 的秘密伺服器企業密碼管理軟件。該軟件為多家企業客戶在多個領域提供自動化的密碼管理。不存在密碼落入壞人手中的風險,使用者甚至都不知道密碼。
有關密碼風險管理的 case study,下文將會繼續分享
相關文章:
1 Response
[…] 被無視的密碼政策 避免員工密碼外洩 (上) 被無視的密碼政策 避免員工密碼外洩 (下) […]