password_Ron Bennetts

企業的安全管理可以說是一個惡性循環,當某種危險行為發生時,企業就會增加一個新的安全政策,這無形中就增加了用戶在實際工作中的阻力,員工開始尋求解決方法加快完成工作,然後就出現了安全違規行為的一個突破口……周而復始,安全政策的執行一直受到內外兩種勢力所挑戰。

你有張良計 員工有翻牆梯

許多用戶管理多個網站帳戶,雖然很多服務商已強制要求採用複雜密碼組合,令用戶記憶時難度增加,登入時難免會感到困惑。應對方法是多網站共用同一密碼。這樣,一旦其中任何一處網站的密碼遭洩露,那麼,所有這些帳戶就可能都受到影響,包括那些與工作相關的帳戶。

一些企業正在通過減少使用者的密碼數量來解決這一問題,利用密碼管理工具來説明他們管理他們的密碼,並切換到更人性化的第二因素系統,如智能手機應用程式。企業可以用以借鑒參考解決問題的五種方法:

1、基於雲的密碼管理服務

單點登錄對於一家實施集中管理的企業是足夠的,而當試圖將其強加在一些自主自治性的部門則幾乎是不可能的。這正是Rotary International所面臨的密碼問題,這家全球性的服務機構擁有120萬會員,分屬於34000家不同的俱樂部。由於這些成員俱樂部都是自治的,這樣可能在一處俱樂部網站用戶有一個登錄名和密碼,而到另一區域的網站又有另一套相關的帳戶密碼,而國家地域級別的網站又有一套單純的帳戶密碼,甚至對於流動應用程式和相關配套開發的其他服務,又有一套密碼系統。

這無疑是相當混亂的,這家位於伊利諾州埃文斯頓的Rotary International公司CIO彼得·馬科斯也認同問題存在。最大挑戰是要在整個企業範圍內進行安全更新,包括那些實行自主性管理的俱樂部網站,這引導企業採用身份和訪問管理的雲服務,提供安全即服務。本地的俱樂部可以發送登錄請求到上級組織,其可以作為中央的樞紐連接其所有的俱樂部成員。簡化了俱樂部的管理。無需自行管理自己的用戶了,也大大方便了俱樂部的成員,使整個組織的資源能夠更便捷的在全球登錄訪問。

過程中最難的部分是將分散的個別俱樂部納入到統一的使用者管理系統,大約8000家俱樂部使用了現成的俱樂部管理軟件,都能夠採用安全即服務了。另外1000家左右的俱樂部切換到自己的管理系統。使用率的普及起步慢,但隨著技術自身不停的得到驗證,並達到臨界質量,其部署採用率將得到逐步提高。但仍然有很多俱樂部並不願意放棄他們的控制權。

Rotary也正在改變其自身看待密碼的方式,尋求擺脫僅僅依靠由特殊字元、大寫字母、數位和增加密碼字元長度的方法,而鼓勵他們使用一句短語。這樣的密碼長度足夠,能夠提供足夠的密碼安全,而成員將更容易記住這種短語型的密碼。

2、現成的密碼管理軟件

Secure-24也同樣面臨著密碼管理的問題,他們需要為其客戶進行密碼管理,而這些客戶需要能夠確保自己安全地訪問他們的系統。客戶會要求不同的伺服器,不同的技術創造密碼,但他們又不想讓我們知道這些密碼,或將其保存或記住這些密碼。

為了解決這個要求,Secure-24採用Thycotic的秘密伺服器企業密碼管理軟件。該軟件為多家企業客戶在多個領域提供自動化的密碼管理。不存在密碼落入壞人手中的風險,使用者甚至都不知道密碼。

有關密碼風險管理的case study,下文將會繼續分享

 


 被無視的密碼政策 避免員工密碼外洩 (上)

 https://www.facebook.com/hkitblog