被無視的密碼政策　避免員工密碼外洩 (下)

上一篇我們回顧了幾種令密碼機制更安全的方案，
以新技術避免操作失誤，令攻擊者入侵需求更大難度。以下還有些常見方法，很多企業都開始部署：

3、智能手機應用程式的雙重認證

用戶在一定程度上也必須進行自身系統的驗證，而消除登錄總數意味著第一次登錄就顯得更為重要。

Secure-24採用雙重認證的方法以確保用戶身份認證，而發送認證碼的這個過程將會更簡單。第二重認證碼是典型的金鑰：RSA安全ID或Vasco Digipass，取決於客戶的偏好，這對於那些將金鑰保管在金鑰鏈的企業非常奏效。

遠端辦公人員可能在工作時沒有將金鑰隨身帶著，但手機卻一定會帶著，所以很多方案正在逐漸放棄金鑰的方法，而採用基於iPhone和Android設備的應用程式獲得臨時密鑰。通常有一串長達八位數的PIN碼，而在之前也只有六位元字元的密碼。基於手機的系統的成本是相當便宜的，手機應用程式軟件複製成本是硬體金鑰不能比擬的，所以其管理成本會比較便宜一點。

如果手機丟失，遠端禁用應用程式是很容易的，而隨著手機生物特徵認證例如Apple的Touch ID指紋識別功能，將令認證更安全。隨著通過手機認證變得越來越簡單，我們將看到其更為廣泛的採用。

4、從特權用戶開始

將整個企業都轉換到一個新的密碼管理和認證系統可以是非常困難的，尤其是如果要用戶改變他們的行為。建議企業從他們的特權用戶開始，提高這一群體安全性將帶來最大的投資回報。例如，一些公司採用基於角色的訪問管理模式，或讓多人共用同一個管理員帳戶，或允許根用戶許可權設置，但這無法得知確實執行指令的人員身份。如果一個駭客進入了公司的系統，並獲得了這些證書，他們就可以做大量的破壞。

這正是今年許多企業所遭遇的頂級安全性漏洞，攻擊者竊取了一小部分數量的員工登錄憑據，允許未經授權訪問客戶資料庫，導致資料大量外洩。

5、用口令代替密碼

另一個比較簡單的方式是不再採用標準的密碼形式：即由符號，數位，大寫字母所組成的八個字元的密碼形式，而讓使用者有一段長但容易記憶的密碼口令。

因為所謂「好的密碼」是最難記得的。但用更長的密碼，可以讓您輕鬆地記住：例如「i went fishing last saturday night」就是一個很好的密碼，即使全部小寫。這樣的短語口令不會出現在任何駭客辭典中。如果一家公司想要在這方面進行改進， 但不負擔不起遷移到雙因素認證的基於權杖或生物認證的系統，他們應該仔細考慮更改密碼管理政策，開始改變更現實一點。企業可以做的另一件事是為他們的員工提供個人密碼管理工具，使他們不會在工作中使用與個人網站相同的密碼。

超長口令密碼是另類的高度複雜密碼，不需要硬記住它，公司可以採用一系列雙因素認證技術和基於SAML的單點登錄系統的組合來使用平台。

其允許企業管理團隊成員，例如，誰訪問了共用帳戶。這些口令共用資料夾是消費者版本和企業服務版本之間的主要差異。