你的密码安全吗?
一般情况下,我们通常使用“用户名称+密码”的方式登录网络。这种方式在密码学产生之初一直延续到现在,是使用最为普遍的密码认证方式之一。
为了方便记忆,我们常常习惯使用特殊的数字,例如家人的生日、自己的生日、身高体重、电话或门牌号码等。密码本身只能对真实性进行低级的认证。静态密码存在很多缺陷,如:密码容易被人猜测或通过交际工程学、社会工程师等途径获取,输入密码时容易被人窥视,密码容易被很多工具破解,存在着没有被检测到的缺陷和漏洞,密码可以在网络离线时被窥测,密码和文件容易从PC和服务器上被转移等等。
于是,为了维护密码安全性,我们必须注意,严格控制密码的长度、复杂性(例如:中英文数字夹杂,大小写间隔,长度须超过8个字符以上),并定期更换密码。所有的这些手段,对个人而言,“烦”。而企业的安全管理又是怎样的呢?
一份调查结果表明,仅依赖于密码无法提供足够的企业安全。无论员工是把密码记录下来,还是因为常常忘记密码而求助于公司内部的服务中心,公司都可能因此降低工作效率,造成不必要的安全隐患,甚至严重损失。
调查结果显示:
• 50%的员工仍将他们的密码记录下来;
• 超过1/3的被调查者与别人共享密码;
• 超过80%的员工有3个或更多密码;
• 被调查者使用密码访问越来越多的应用程序:67%访问5个或5个以上,另有31%访问9个或更多;
• 47%的被调查者每年至少必须重设一次密码。
在所有被调查的企业中,68%的企业通过要求更长或更复杂的密码来增强了其安全政策。考虑到全部被调查者中有47%使用5~10个密码访问业务应用程序,随着密码频繁更换,员工将密码记录下来或者由于密码太复杂而忘记密码的可能性急剧上升,这同时为密码泄漏留下安全隐患。
要效率还是安全?
毫无疑问,企业信息化给生产力带来的大幅提高,让众多的管理者对企业信息化充满信心,并且努力将信息化范围拓展到更为宽广的范围,打造随时随地办公的企业网络。越来越多企业都透过远程接入设备,使员工在企业外部能够访问OA,ERP,CRM等内部资源。大部分的业务人员俨然已经成为当前最流行的移动式工作者,透过公众网路连回到公司服务器,天天在外面,一样工作。
为了确保资料传输安全,多数远程接入系统采用以IPSec VPN为主的Client-Server架构式的VPN连线服务。然而,由于网路环境复杂,Client-Server架构的IPSec VPN方式需要在用户端中安装额外的专用软件,使用上不是非常方便,SSL VPN逐渐成为新的选择。SSL VPN同样拥有高等级的加密能力,但使用却只需要IE浏览器即可,而不需要另外安装VPN软件,简单来讲,可以连上Internet即能够实现访问企业内部资源。
在身份认证安全方面,SSL VPN可以做到基于用户的粒度控制,基于用户和组授予不同的应用访问权限,并对相关访问操作进行审计,保证只有“正确”的用户才能访问“正确”的应用。不过验证的方式还是没有逃离“用户名+密码”,如何才能够在随时随地远程接入的同时,保障企业安全?
安全远程访问的出路在哪里?
更强劲的验证方式应运而出。RSA 安全令牌、智能卡、生物测定等双因素认证技术为实现安全的远程访问带来新的契机。通过将一些物理ID与数字ID整合使用,即:用户名(唯一的)+PIN(自己设)+令牌码(动态)。
双因素是密码学的一个概念。身份认证有三个要素:
第一个要素(所知道的内容):需要使用者记忆的身份认证内容,例如密码和身份证号码等。
第二个要素(所拥有的物品):使用者拥有的特殊认证加强机制,例如动态密码卡,IC卡,磁卡等。
第三个要素(所具备的特征):使用者本身拥有的惟一特征,例如指纹、瞳孔、声音等。
单独来看,这三个要素中的任何一个都有问题。“所拥有的物品”可以被盗走;“所知道的内容”可以被猜出、被分享,复杂的内容可能会忘记;“所具备的特征”最为强大,但是代价昂贵且拥有者本身易受攻击,一般用在顶级安全需求中。把前两种要素结合起来的身份认证的方法就是“双因素认证”。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
身份认证技术指南
一次RSA遭攻击事件,让安全认证成为热点。如何才能实现有效的身份认证和访问管理?本技术手册,将从三个方面为你详细介绍有关认证的知识,帮助你选择合适的认证方案。
-
更强的双因素认证方案
或许没有最强的认证解决方案,在不同环境下选择最合适的才是最安全的。那在选择时需要考虑什么?近日,本站记者采访了SafeNet亚太区副总裁陈泓先生。
-
RSA回应SecurID攻击 计划更换安全令牌
EMC公司的安全部门RSA表示,将更换SecurID令牌,因为其最大的客户们在针对政府承办商的攻击中受害,他们认为这与双因素认证机制有关。
-
RSA遭遇APT攻击 SecureID被偷
RSA是EMC公司的安全部门,本周四,EMC公司表示,与其SecurID双因素认证产品有关的信息在“极其复杂的网络攻击”中被盗。这会带来什么影响?