调查显示,91%的人明知在多个账户上使用相同的密码存在很大安全风险,但仍有66%的人在这么做。
如今在网络黑市购买目标企业员工账户密码几乎成了网络攻击的标准操作,可以大大降低攻击难度和风险。根据Verizon的《数据违规调查报告》,有81%与黑客相关的违规行为都利用了被盗密码或弱密码,只需一名员工的弱密码就可以撬开重兵把守、重金打造的企业网络安全防御体系。
IT安全从业人员都知道强身份验证和密码管理良好习惯的重要性,但由于可用性或易用性问题,密码“卫生习惯”很难养成,而好的密码管理解决方案则有助于企业填补弱密漏洞。
企业选择合适的密码管理解决方案需要考虑多种因素。以下我们整理了几位网络安全专家对此的见解。
Dashlane B2B增长负责人Simran Anand
密码是企业网络安全和风险管理链条中最薄弱的一环,因此选择密码管理器应该是IT决策者的重中之重。尽管这个问题在大多数人眼里似乎是显而易见的:安全性(高级加密、2FA等)、服务支持和价格,但这里需要强调的是最终用户的体验,这一点至关重要。因为用户采用率仍然是IT部门最大的挑战。在评估密码管理工具时,只有17%的IT主管将用户体验列入考核指标。
因此,毫不奇怪的是,那些在公司中部署了密码管理器的人报告员工采用率只有23%。对于那些希望为其公司保证安全流程的IT领导者而言,最终用户体验必须是优先事项。
密码管理作为安全链中的一个至关重要的环节,不能因缺乏采用而导致效能大打折扣(仅告诉员工遵循良好的密码习惯并不足以杜绝安全陋习)。为了使企业能够利用下一代密码安全性的好处,他们需要确保其密码管理解决方案易于使用,并被所有员工采用。
LogMeIn首席信息安全官Gerald Beuchelt
未来很长一段时间,全球的远程办公将成为新常态,网络犯罪分子将首先从安全卫生习惯糟糕的员工身上下手。尽管企业和员工,甚至包括高级管理层都知道密码整体安全性中扮演着重要的角色,但许多人仍在忽略最佳密码规范做法,因此,企业应实施密码管理解决方案来固化好的安全习惯和密码规范。
选择密码管理解决方案时主要关注以下几点:
- 能够监视不良的密码卫生习惯,并提供可视化的改进措施,以鼓励更好的密码管理。
- 在整个组织中的标准化和实施策略,以提供足够的密码保护强度。
- 提供一个安全的密码管理门户,使员工可以方便地访问所有帐户密码。
- 提供有关潜在威胁的详细安全报告。
- 使IT部门能够审核用户具有的访问控制权限,从而可以更改权限并鼓励使用新密码。
- 与以前和现有的基础架构集成,以自动化和加速工作流程。
- 监督用户何时共享账户,以保持安全感和责任感。
总之,使用有效的密码管理解决方案对于保护业务信息至关重要。寻找正确的解决方案不仅有助于改善员工的密码行为,还可以提高组织的整体在线安全性。
Bitwarden首席执行官Michael Crandell
员工每天在线工作时都需要记忆大量高强度密码,无疑是一个巨大的挑战。密码管理器简化了复杂密码的生成、存储和共享,这是实现密码安全性的必备条件。
市场上有许多信誉良好的密码管理器,企业应优先考虑可跨平台工作并且收费合理的产品。企业还应该考虑该解决方案是否可以部署在云中或本地。出于安全性和内部合规性的原因,某些企业通常会首选本地部署方式。
无论是对于初学者还是高级用户,密码管理器都必须易于使用。任何员工都应该能够在几分钟内在其设备上启动并运行。
最近,许多企业已经转向远程工作模型,这突出了在线协作的重要性以及在线共享工作资源的需求。考虑到这一点,企业应优先考虑提供安全方法以在团队之间共享密码的方案,确保分散的远程团队中每个人的访问安全。
最后,可以尝试寻找基于开源代码开发的密码管理器。开源意味着源代码可以由经验丰富的开发人员和安全研究人员审核,他们可以识别潜在的安全问题,甚至为解决这些问题做出贡献。
今年6月份,苹果公司发布了一组面向密码管理器开发者(包括整个APP开发生态)的免费资源和工具。这些工具资源统称Password Manager Resources,目前已经在Github上开源。解决了开发者的一个头疼问题:密码管理器生成的强密码很多时候无法与网站密码规则匹配。(编者按:例如很多网站支持的密码长度不一,有的支持64+字符数的长密码,有的仅支持不到20字符的短密码)
1Password首席运营官Matt Davey
65%的人会重复使用部分或全部账户的密码。通常,这是因为他们没有正确的工具来轻松创建和使用强密码,这就是为什么需要密码管理器的原因。
一个好的密码管理器可让您监督对企业最重要的事情:来自谁的登录账户,上次访问特定项目的人员,或您域中的哪个电子邮件地址已包含在违规行为中。
密码管理器还可以减轻管理员的负担,能够按组管理访问,委派管理员权限并大规模管理用户。根据企业的业务结构,按项目,位置或团队授予对信息的访问权限是值得推荐的做法。
您还需要考虑密码管理器如何适合您现有的IAM/安全技术堆栈。一些密码管理器与身份提供商集成,从而简化了配置和管理。
最重要的是,如果您希望员工采用密码管理器,请确保它易于使用:只有您的员工实际使用了密码管理器,其安全性才能发挥作用。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】