企業(yè)如何選擇密碼管理解決方案?

安全牛
密碼是企業(yè)網絡安全和風險管理鏈條中最薄弱的一環(huán),因此選擇密碼管理器應該是IT決策者的重中之重。盡管這個問題在大多數人眼里似乎是顯而易見的:安全性(高級加密、2FA等)、服務支持和價格,但這里需要強調的是最終用戶的體驗,這一點至關重要。因為用戶采用率仍然是IT部門最大的挑戰(zhàn)。

調查顯示,91%的人明知在多個賬戶上使用相同的密碼存在很大安全風險,但仍有66%的人在這么做。

如今在網絡黑市購買目標企業(yè)員工賬戶密碼幾乎成了網絡攻擊的標準操作,可以大大降低攻擊難度和風險。根據Verizon的《數據違規(guī)調查報告》,有81%與黑客相關的違規(guī)行為都利用了被盜密碼或弱密碼,只需一名員工的弱密碼就可以撬開重兵把守、重金打造的企業(yè)網絡安全防御體系。

IT安全從業(yè)人員都知道強身份驗證和密碼管理良好習慣的重要性,但由于可用性或易用性問題,密碼“衛(wèi)生習慣”很難養(yǎng)成,而好的密碼管理解決方案則有助于企業(yè)填補弱密漏洞。

企業(yè)選擇合適的密碼管理解決方案需要考慮多種因素。以下我們整理了幾位網絡安全專家對此的見解。

Dashlane B2B增長負責人Simran Anand

密碼是企業(yè)網絡安全和風險管理鏈條中最薄弱的一環(huán),因此選擇密碼管理器應該是IT決策者的重中之重。盡管這個問題在大多數人眼里似乎是顯而易見的:安全性(高級加密、2FA等)、服務支持和價格,但這里需要強調的是最終用戶的體驗,這一點至關重要。因為用戶采用率仍然是IT部門最大的挑戰(zhàn)。在評估密碼管理工具時,只有17%的IT主管將用戶體驗列入考核指標。

因此,毫不奇怪的是,那些在公司中部署了密碼管理器的人報告員工采用率只有23%。對于那些希望為其公司保證安全流程的IT領導者而言,最終用戶體驗必須是優(yōu)先事項。

密碼管理作為安全鏈中的一個至關重要的環(huán)節(jié),不能因缺乏采用而導致效能大打折扣(僅告訴員工遵循良好的密碼習慣并不足以杜絕安全陋習)。為了使企業(yè)能夠利用下一代密碼安全性的好處,他們需要確保其密碼管理解決方案易于使用,并被所有員工采用。

LogMeIn首席信息安全官Gerald Beuchelt

未來很長一段時間,全球的遠程辦公將成為新常態(tài),網絡犯罪分子將首先從安全衛(wèi)生習慣糟糕的員工身上下手。盡管企業(yè)和員工,甚至包括高級管理層都知道密碼整體安全性中扮演著重要的角色,但許多人仍在忽略最佳密碼規(guī)范做法,因此,企業(yè)應實施密碼管理解決方案來固化好的安全習慣和密碼規(guī)范。

選擇密碼管理解決方案時主要關注以下幾點:

·能夠監(jiān)視不良的密碼衛(wèi)生習慣,并提供可視化的改進措施,以鼓勵更好的密碼管理。

·在整個組織中的標準化和實施策略,以提供足夠的密碼保護強度。

·提供一個安全的密碼管理門戶,使員工可以方便地訪問所有帳戶密碼。

·提供有關潛在威脅的詳細安全報告。

·使IT部門能夠審核用戶具有的訪問控制權限,從而可以更改權限并鼓勵使用新密碼。

·與以前和現有的基礎架構集成,以自動化和加速工作流程。

·監(jiān)督用戶何時共享賬戶,以保持安全感和責任感。

總之,使用有效的密碼管理解決方案對于保護業(yè)務信息至關重要。尋找正確的解決方案不僅有助于改善員工的密碼行為,還可以提高組織的整體在線安全性。

Bitwarden首席執(zhí)行官Michael Crandell

員工每天在線工作時都需要記憶大量高強度密碼,無疑是一個巨大的挑戰(zhàn)。密碼管理器簡化了復雜密碼的生成、存儲和共享,這是實現密碼安全性的必備條件。

市場上有許多信譽良好的密碼管理器,企業(yè)應優(yōu)先考慮可跨平臺工作并且收費合理的產品。企業(yè)還應該考慮該解決方案是否可以部署在云中或本地。出于安全性和內部合規(guī)性的原因,某些企業(yè)通常會首選本地部署方式。

無論是對于初學者還是高級用戶,密碼管理器都必須易于使用。任何員工都應該能夠在幾分鐘內在其設備上啟動并運行。

最近,許多企業(yè)已經轉向遠程工作模型,這突出了在線協(xié)作的重要性以及在線共享工作資源的需求。考慮到這一點,企業(yè)應優(yōu)先考慮提供安全方法以在團隊之間共享密碼的方案,確保分散的遠程團隊中每個人的訪問安全。

最后,可以嘗試尋找基于開源代碼開發(fā)的密碼管理器。開源意味著源代碼可以由經驗豐富的開發(fā)人員和安全研究人員審核,他們可以識別潛在的安全問題,甚至為解決這些問題做出貢獻。

今年6月份,蘋果公司發(fā)布了一組面向密碼管理器開發(fā)者(包括整個APP開發(fā)生態(tài))的免費資源和工具。這些工具資源統(tǒng)稱Password Manager Resources,目前已經在Github上開源。解決了開發(fā)者的一個頭疼問題:密碼管理器生成的強密碼很多時候無法與網站密碼規(guī)則匹配。(編者按:例如很多網站支持的密碼長度不一,有的支持64+字符數的長密碼,有的僅支持不到20字符的短密碼)

1Password首席運營官Matt Davey

65%的人會重復使用部分或全部賬戶的密碼。通常,這是因為他們沒有正確的工具來輕松創(chuàng)建和使用強密碼,這就是為什么需要密碼管理器的原因。

一個好的密碼管理器可讓您監(jiān)督對企業(yè)最重要的事情:來自誰的登錄賬戶,上次訪問特定項目的人員,或您域中的哪個電子郵件地址已包含在違規(guī)行為中。

密碼管理器還可以減輕管理員的負擔,能夠按組管理訪問,委派管理員權限并大規(guī)模管理用戶。根據企業(yè)的業(yè)務結構,按項目,位置或團隊授予對信息的訪問權限是值得推薦的做法。

您還需要考慮密碼管理器如何適合您現有的IAM/安全技術堆棧。一些密碼管理器與身份提供商集成,從而簡化了配置和管理。

最重要的是,如果您希望員工采用密碼管理器,請確保它易于使用:只有您的員工實際使用了密碼管理器,其安全性才能發(fā)揮作用。

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論

本月熱門