被無視的密碼政策 避免員工密碼外洩 (下)
上一篇我們回顧了幾種令密碼機制更安全的方案,以新技術避免操作失誤,令攻擊者入侵過程更大難度。以下還有些常見方法,很多企業都開始部署:
3、智能手機應用程式的雙重認證
用戶在一定程度上也必須進行本身的系統驗證,而消除登錄總數意味著第一次登錄就顯得更為重要。
Secure-24 採用雙重認證的方法以確保用戶身份認證,而發送認證碼的這個過程將會更簡單。第二重認證碼是典型的金鑰:RSA 安全 ID 或 Vasco Digipass,取決於客戶的偏好,這對於那些將金鑰保管在金鑰鏈的企業非常奏效。
遠端辦公人員可能在工作時沒有將金鑰隨身帶著,但手機卻一定會帶著,所以很多方案正在逐漸放棄金鑰的方法,而採用基於 iPhone 和 Android 設備的應用程式獲得臨時密鑰。通常有一串長達八位數的 PIN 碼,而在之前也只有六位元字元的密碼。基於手機的系統的成本是相當便宜的,手機應用程式軟件複製成本是硬體金鑰不能比擬的,所以其管理成本會比較便宜一點。
如果手機遺失,遠端禁用應用程式是很容易的,而隨著手機生物特徵認證例如 Apple 的 Touch ID 指紋識別功能,將令認證更安全。隨著通過手機認證變得越來越簡單,我們將看到其更為廣泛的應用。
4、從特權用戶開始
將整個企業轉換到一個新的密碼管理和認證系統是非常困難的,尤其是如果要用戶改變他們的行為。建議企業從他們的特權用戶開始,提高這一群體安全性將帶來最大的投資回報。例如,一些公司採用基於角色的管理模式,或讓多人共用同一個管理員帳戶,或允許根用戶許可權設置,但這無法得知確實執行指令的人員身份。如果一個駭客進入了公司的系統,並獲得了這些證書,他們就可以做大量的破壞。
這正是許多企業所遭遇的頂級安全性漏洞,攻擊者竊取了一小部分數量的員工登錄憑據,允許未經授權存取客戶資料庫,導致資料大量外洩。
5、用口令代替密碼
另一個比較簡單的方式是不再採用標準的密碼形式:即由符號,數位,大寫字母所組成的八個字元的密碼形式,而讓使用者有一段長但容易記憶的密碼口令。
所謂「好的密碼」是最難記得的。但用更長的密碼,可以讓您輕鬆地記住:例如「i went fishing last saturday night」就是一個很好的密碼,即使全部小寫。這樣的短語口令不會出現在任何駭客辭典中。如果一家公司想要在這方面進行改進, 負擔不起遷移到雙因素認證的基於生物認證的系統,他們應該仔細考慮更改密碼管理政策。企業可以做的另一件事是為他們的員工提供個人密碼管理工具,使他們不會在工作中使用與個人網站相同的密碼。
超長口令密碼是另類的高度複雜密碼,不需要硬記住它,公司可以採用一系列雙因素認證技術和基於 SAML 的單點登錄系統的組合來使用平台。
相關文章:
1 Response
[…] 被無視的密碼政策 避免員工密碼外洩 (上) 被無視的密碼政策 避免員工密碼外洩 (下) […]