密码对控制网络访问和让其他人拖垮你的网络之间构成了关键性的安全屏障。这些年以来,密码与其外围的保护措施发生了显著的变化,每个公司似乎都有不同的密码安全政策,而用户几乎无法看出一个政策与下一个政策之间的连贯性。 比起剪切粘贴在政府网站上找到的13年之久的政策,思考应该把什么放进去才是一个好的密码安全政策以及为什么这么做,这将更加有意义的。 一部密码安全政策的目的是减少风险,这意味着要写出一个比较好的政策,企业首先应该去思考哪些风险是他们极力想要减少的。
当然,你总是这么对自己说,“我不需要去思考风险;我只要能够编出一部有过强杀伤力的政策即可。”这有两个问题:第一,政策越是难以理解和遵守,用……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
密码对控制网络访问和让其他人拖垮你的网络之间构成了关键性的安全屏障。这些年以来,密码与其外围的保护措施发生了显著的变化,每个公司似乎都有不同的密码安全政策,而用户几乎无法看出一个政策与下一个政策之间的连贯性。
比起剪切粘贴在政府网站上找到的13年之久的政策,思考应该把什么放进去才是一个好的密码安全政策以及为什么这么做,这将更加有意义的。
一部密码安全政策的目的是减少风险,这意味着要写出一个比较好的政策,企业首先应该去思考哪些风险是他们极力想要减少的。当然,你总是这么对自己说,“我不需要去思考风险;我只要能够编出一部有过强杀伤力的政策即可。”这有两个问题:第一,政策越是难以理解和遵守,用户就越可能去想办法对付政策。因此,制定一个不正常“超乎安全”的政策,事实是在给用户不安全操作的理由。
过强杀伤力政策的另一个问题,就是他们暗示了信息安全员工失职。如果一个IT团队不去正视那些安全风险,并找到极尽简单的政策来合理、平衡地管制,他们怎么还能期望公司的其他人能够尊重他们在其他信息安全领域的权威?
实施低级密码安全政策的风险
让我们更深层次地考察风险,以便分析密码安全政策应怎样反映出公司的风险。关于密码,你最大的三个风险是故意共享密码,盗取或丢失密码,以及猜测密码。人们共享密码是为了完成工作(有时是别的原因),然后他们不立即修改密码就养成了不好的习惯,但密码也经常会被盗取:背后偷窥,社交工程,显示器上的便利贴,系统和网站上密码反复使用,简单的密码重置过程等等。当然,密码也经常被猜出来,要么是通过强力(反复猜测各种可能的密码),要么是通过智能有目标的猜测方法。
*社交工程:是指在黑客理论中,指利用人性弱点、利用人际交往上的漏洞来非法获取资料的行为。
大多数的密码政策,只是把重点放在减弱密码猜测,而对其他方面要么不关注,要么关注非常少。安全经理们通常倾向忽略密码相关的重大风险,其中一个重要的原因是比起人工控制,实施技术控制更加容易。在众多操作系统中,你可以设置密码的历史记录、修改密码频率和复杂性要求。但没有任何注册表项可以教会人们如何规避背后偷窥,或提醒人们不要在别人电脑上输入密码。
密码猜测的风险经常被误判。例如,你有一个设计优良的防非法入侵功能的验证系统,别人强行进入网络的风险为零, 除非用户的密码非常明显。因为密码试过几次之后,防非法入侵功能便会启动,甚至能让原来正确的密码失效,因此猜测密码会立刻变得不可能,因为攻击者永远不清楚他什么时候猜中了。既然这样,你的密码复杂度要求变得简单,还能提供有效的保护机制。
另一方面,如果你没有防入侵功能,或你的验证系统有“后门”并绕开了防入侵功能,例如FTP 服务器或网页要求验证,然后强行攻击是有可能的,这时候需要更加复杂的密码。如果你的密码文件(或安全数据库)曾经暴露,强力攻击是可能的;密码越简单,攻击者越容易重构密码。
当你制定密码安全政策时,思考一下与密码有关的风险,然后制定能够适当补偿和管控风险的政策。同时,记住:最有效的政策背后需要强大的用户教育和频繁测试,来评估政策的适应性。
作者介绍:Joel Snyder是Opus One的高级合伙人。Opus One是一家专注于安全和信息的IT咨询公司。
作者
相关推荐
-
移动设备的四种防护方法
既想通过移动设备来提升生产力,又要防范相应的安全风险,IT经理们不得不在收益和风险之间如履薄冰。本文提出了保护移动设备的四种方法……
-
顽强的老软件潜伏着什么样的安全威胁?
对一些顽强的老软件进行升级对于管理人员来说往往是一段痛苦而劳神费力的过程。但相比之下,拖延软件升级等更新工作则会给企业带来灾难性的潜在安全威胁……
-
IT运维操作安全评估及对策分析
本文以电网公司信息运维综合监管系统(简称IMS系统)为研究对象,对其IT运维操作过程中存在的安全风险进行了分析。
-
四招帮您成为IT安全专家:移动技术不可轻视
随着移动设备逐渐成为企业办公环境,安全环境不仅没有改善、反而有日趋恶化的趋势。这使得传统的安全保护对象进一步扩大……