文章摘要:根据调查,91%的人知道在多个账户上使用同一个密码有很大的安全风险,但66%的人仍然这样做。如今,在黑市上购买目标企业的员工账户密码几乎是一种标准操作,可以大大降低攻击难度和风险。根据Verizon的《数据违规调查报告》,81%的黑客相关违规使用被盗密码或弱密码,只有一名员工的弱密码可以撬开企业网络安全防御系统,该系统戒备森严,构建严密。信息技术安全从业者知道强身份验证和良好密码管理习惯的重要性。
根据调查,91%的人知道在多个账户上使用同一个密码有很大的安全风险,但66%的人仍然这样做。
如今,在黑市上购买目标企业的员工账户密码几乎是一种标准操作,可以大大降低攻击难度和风险。根据Verizon的《数据违规调查报告》,81%的黑客相关违规使用被盗密码或弱密码,只有一名员工的弱密码可以撬开企业网络安全防御系统,该系统戒备森严,构建严密。
信息技术安全从业者知道强身份验证和良好密码管理习惯的重要性。然而,由于可用性或易用性,很难培养密码“健康习惯”,一个好的密码管理解决方案可以帮助企业填补薄弱的秘密。
企业在选择合适的密码管理解决方案时需要考虑许多因素。下面我们整理一下几位网络安全专家的意见。
Dashlane B2B增长负责人Simran Anand
密码是企业网络安全和风险管理链条中最薄弱的环节,因此选择密码管理者应该是IT决策者的首要任务。尽管这个问题对大多数人来说是显而易见的:安全性(高级加密,2FA等)。),服务支持和价格,强调最终用户体验非常重要。因为用户采用率仍然是信息技术部门面临的最大挑战。在评估密码管理工具时,只有17%的信息技术主管将用户体验纳入评估指标。
因此,毫不奇怪,那些在公司中部署了密码管理器的公司报告说,员工采用率仅为23%。对于希望确保公司流程安全的信息技术领导者来说,最终用户体验必须是重中之重。
密码管理作为安全链中的一个关键环节,不应该因为没有被采用而失去其有效性(告诉员工遵循良好的密码习惯并不足以杜绝不良的安全习惯)。为了使企业能够利用下一代密码安全的优势,他们需要确保他们的密码管理解决方案易于使用并被所有员工采用。
罗格梅公司首席信息安全官Gerald Beuchelt
在未来很长一段时间内,远程办公将成为新的常态,网络犯罪将从安全和卫生习惯差的员工开始。尽管企业和员工,甚至高级管理人员都知道密码在整体安全中起着重要作用,但许多人仍然忽略了最佳密码规范。因此,企业应该实施密码管理解决方案,以巩固良好的安全习惯和密码规范。
选择密码管理解决方案时,请关注以下几点:
它可以监控不良的密码使用习惯,并提供可视化的改进措施,以鼓励更好的密码管理。在整个组织中标准化和实施策略,以提供足够的密码保护强度。
提供安全的密码管理门户,以便员工可以轻松访问所有帐户密码。
提供关于潜在威胁的详细安全报告。
使信息技术部门能够审核用户拥有的访问控制权限,以便他们能够更改权限并鼓励使用新密码。
与以前和现有的基础架构集成,以自动化和加速工作流。
监督用户何时共享账户,以保持安全感和责任感。
总之,使用有效的密码管理解决方案对于保护业务信息非常重要。找到正确的解决方案不仅可以改善员工的密码行为,还可以提高组织的整体在线安全性。
比特沃德公司的首席执行官迈克尔克兰德尔
员工每天在网上工作时需要记住大量高强度的密码,这无疑是一个巨大的挑战。密码管理器简化了复杂密码的生成、存储和共享,这是密码安全的必要条件。
市场上有很多信誉良好的密码管理人员,企业应该优先考虑能够跨平台工作、收费合理的产品。企业还应该考虑解决方案是可以部署在云中还是本地。出于安全和内部合规性的原因,一些企业通常更喜欢本地部署。
密码管理器必须易于初学者和高级用户使用。任何员工都应该能够在几分钟内启动并运行他的设备。
最近,许多企业转向远程工作模式,这突出了在线协作的重要性和在线共享工作资源的必要性。有鉴于此,企业应该优先考虑提供团队间共享密码的安全方法的方案,以保证分布式远程团队中每个人的访问安全。
最后,我们可以尝试找到一个基于开源代码开发的密码管理器。开源意味着有经验的开发人员和安全研究人员可以审核源代码,他们可以识别潜在的安全问题,甚至有助于解决这些问题。
今年6月,苹果为密码管理开发人员(包括整个APP开发生态系统)发布了一套免费的资源和工具。这些工具资源统称为密码管理器资源,在Github上已经打开。它解决了开发人员的一个难题:在很多情况下,密码管理器生成的强密码与网站的密码规则不匹配。(编者按:例如,许多网站支持不同长度的密码,有些支持64个字符的长密码,有些只支持少于20个字符的短密码)
1Password首席运营官Matt Davey
65%的人会重复使用部分或全部账户密码。通常,这是因为他们没有合适的工具来轻松创建和使用强密码,这就是为什么需要密码管理器。一个好的密码管理器可以让你监控对企业来说最重要的事情:谁的登录帐户,谁上次访问了一个特定的项目,或者你的域中的哪个电子邮件地址被包含在违规中。
密码管理器还可以减轻管理员的负担,管理组访问,授予管理员权限,以及大规模管理用户。根据企业的业务结构,建议按项目、位置或团队授予对信息的访问权限。
您还需要考虑密码管理器如何适合您现有的IAM/安全技术堆栈。一些密码管理器与身份提供者集成在一起,以简化配置和管理。
最重要的是,如果您希望您的员工使用密码管理器,请确保它易于使用:只有当您的员工实际使用密码管理器时,它的安全性才能发挥作用。
