調查顯示,91%的人明知在多個賬戶上使用相同的密碼存在很大安全風險,,但仍有66%的人在這么做。
如今在網絡黑市購買目標企業(yè)員工賬戶密碼幾乎成了網絡攻擊的標準操作,,可以大大降低攻擊難度和風險,。根據Verizon的《數據違規(guī)調查報告》,,有81%與黑客相關的違規(guī)行為都利用了被盜密碼或弱密碼,,只需一名員工的弱密碼就可以撬開重兵把守、重金打造的企業(yè)網絡安全防御體系,。
IT安全從業(yè)人員都知道強身份驗證和密碼管理良好習慣的重要性,,但由于可用性或易用性問題,密碼“衛(wèi)生習慣”很難養(yǎng)成,,而好的密碼管理解決方案則有助于企業(yè)填補弱密漏洞,。
企業(yè)選擇合適的密碼管理解決方案需要考慮多種因素。以下我們整理了幾位網絡安全專家對此的見解,。
Dashlane B2B增長負責人Simran Anand
密碼是企業(yè)網絡安全和風險管理鏈條中最薄弱的一環(huán),,因此選擇密碼管理器應該是IT決策者的重中之重。盡管這個問題在大多數人眼里似乎是顯而易見的:安全性(高級加密,、2FA等),、服務支持和價格,但這里需要強調的是最終用戶的體驗,,這一點至關重要,。因為用戶采用率仍然是IT部門最大的挑戰(zhàn)。在評估密碼管理工具時,,只有17%的IT主管將用戶體驗列入考核指標,。
因此,毫不奇怪的是,,那些在公司中部署了密碼管理器的人報告員工采用率只有23%,。對于那些希望為其公司保證安全流程的IT領導者而言,,最終用戶體驗必須是優(yōu)先事項。
密碼管理作為安全鏈中的一個至關重要的環(huán)節(jié),,不能因缺乏采用而導致效能大打折扣(僅告訴員工遵循良好的密碼習慣并不足以杜絕安全陋習),。為了使企業(yè)能夠利用下一代密碼安全性的好處,他們需要確保其密碼管理解決方案易于使用,,并被所有員工采用,。
LogMeIn首席信息安全官Gerald Beuchelt
未來很長一段時間,全球的遠程辦公將成為新常態(tài),,網絡犯罪分子將首先從安全衛(wèi)生習慣糟糕的員工身上下手,。盡管企業(yè)和員工,甚至包括高級管理層都知道密碼整體安全性中扮演著重要的角色,,但許多人仍在忽略最佳密碼規(guī)范做法,,因此,企業(yè)應實施密碼管理解決方案來固化好的安全習慣和密碼規(guī)范,。
選擇密碼管理解決方案時主要關注以下幾點:
·能夠監(jiān)視不良的密碼衛(wèi)生習慣,,并提供可視化的改進措施,以鼓勵更好的密碼管理,。
·在整個組織中的標準化和實施策略,,以提供足夠的密碼保護強度。
·提供一個安全的密碼管理門戶,,使員工可以方便地訪問所有帳戶密碼,。
·提供有關潛在威脅的詳細安全報告。
·使IT部門能夠審核用戶具有的訪問控制權限,,從而可以更改權限并鼓勵使用新密碼,。
·與以前和現有的基礎架構集成,以自動化和加速工作流程,。
·監(jiān)督用戶何時共享賬戶,,以保持安全感和責任感。
總之,,使用有效的密碼管理解決方案對于保護業(yè)務信息至關重要,。尋找正確的解決方案不僅有助于改善員工的密碼行為,還可以提高組織的整體在線安全性,。
Bitwarden首席執(zhí)行官Michael Crandell
員工每天在線工作時都需要記憶大量高強度密碼,,無疑是一個巨大的挑戰(zhàn)。密碼管理器簡化了復雜密碼的生成,、存儲和共享,,這是實現密碼安全性的必備條件。
市場上有許多信譽良好的密碼管理器,,企業(yè)應優(yōu)先考慮可跨平臺工作并且收費合理的產品,。企業(yè)還應該考慮該解決方案是否可以部署在云中或本地,。出于安全性和內部合規(guī)性的原因,某些企業(yè)通常會首選本地部署方式,。
無論是對于初學者還是高級用戶,,密碼管理器都必須易于使用。任何員工都應該能夠在幾分鐘內在其設備上啟動并運行,。
最近,,許多企業(yè)已經轉向遠程工作模型,這突出了在線協(xié)作的重要性以及在線共享工作資源的需求,??紤]到這一點,企業(yè)應優(yōu)先考慮提供安全方法以在團隊之間共享密碼的方案,,確保分散的遠程團隊中每個人的訪問安全,。
最后,可以嘗試尋找基于開源代碼開發(fā)的密碼管理器,。開源意味著源代碼可以由經驗豐富的開發(fā)人員和安全研究人員審核,,他們可以識別潛在的安全問題,甚至為解決這些問題做出貢獻,。
今年6月份,,蘋果公司發(fā)布了一組面向密碼管理器開發(fā)者(包括整個APP開發(fā)生態(tài))的免費資源和工具。這些工具資源統(tǒng)稱Password Manager Resources,,目前已經在Github上開源,。解決了開發(fā)者的一個頭疼問題:密碼管理器生成的強密碼很多時候無法與網站密碼規(guī)則匹配,。(編者按:例如很多網站支持的密碼長度不一,,有的支持64+字符數的長密碼,有的僅支持不到20字符的短密碼)
1Password首席運營官Matt Davey
65%的人會重復使用部分或全部賬戶的密碼,。通常,,這是因為他們沒有正確的工具來輕松創(chuàng)建和使用強密碼,這就是為什么需要密碼管理器的原因,。
一個好的密碼管理器可讓您監(jiān)督對企業(yè)最重要的事情:來自誰的登錄賬戶,,上次訪問特定項目的人員,或您域中的哪個電子郵件地址已包含在違規(guī)行為中,。
密碼管理器還可以減輕管理員的負擔,,能夠按組管理訪問,委派管理員權限并大規(guī)模管理用戶,。根據企業(yè)的業(yè)務結構,,按項目,位置或團隊授予對信息的訪問權限是值得推薦的做法,。
您還需要考慮密碼管理器如何適合您現有的IAM/安全技術堆棧,。一些密碼管理器與身份提供商集成,,從而簡化了配置和管理。
最重要的是,,如果您希望員工采用密碼管理器,,請確保它易于使用:只有您的員工實際使用了密碼管理器,其安全性才能發(fā)揮作用,。