问:我们企业的用户好像经常创建弱密码。当我们想要采用强大的密码系统(要求数字、符号和字母混合使用)的时候,我们的服务台总是被忘记密码的请求淹没,用户开始把密码留在监视器上或者放在键盘下面。在员工可以记住的弱密码和黑客可能找到的强大密码之间有令人满意的平衡方法吗? 答:企业密码管理策略不应该受到服务台呼叫量的驱动,而是应该受到业务风险的驱动。认为可能受到攻击的企业对他的关心程度如何呢?基于目前的复杂程度和封闭的价值,需要多少天用自动的方式攻击一个账户呢?用户改动他们密码的频率应该是多少呢?所有这些问题的答案都要给予企业的风险状态和安全策略。
这就是说,还要考虑和显示器上的便签纸相关的风险……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
问:我们企业的用户好像经常创建弱密码。当我们想要采用强大的密码系统(要求数字、符号和字母混合使用)的时候,我们的服务台总是被忘记密码的请求淹没,用户开始把密码留在监视器上或者放在键盘下面。在员工可以记住的弱密码和黑客可能找到的强大密码之间有令人满意的平衡方法吗?
答:企业密码管理策略不应该受到服务台呼叫量的驱动,而是应该受到业务风险的驱动。认为可能受到攻击的企业对他的关心程度如何呢?基于目前的复杂程度和封闭的价值,需要多少天用自动的方式攻击一个账户呢?用户改动他们密码的频率应该是多少呢?所有这些问题的答案都要给予企业的风险状态和安全策略。
这就是说,还要考虑和显示器上的便签纸相关的风险。有没有定期执行预排,确定机密数据(比如密码)没有留在桌子上。有没有安全意识项目可以教育员工一些社会工程威胁的课程?
只有公司可以回答密码的复杂程度应该是怎么样的这样的问题,而且第一步是确定有密码管理策略的文档。信息安全组应该快速的制定一份。我上面问到的问题应该是确定策略内容的很好的开始。但是一般来说,密码策略应该至少包括以下关键控制:
- 最小的密码长度
- 特别字符。例如大小写、数字或者特殊字符
- 变更密码的时间表
- 在账户被系统锁定前可以输入劣质密码的次数。
- 用户可以再次使用一个密码的反复次数,这样可以避免用户在两个密码中变换。
翻译
相关推荐
-
数据泄露后:是否应强制执行密码重置?
据报道,在重大数据泄露事故后,雅虎公司信息安全团队希望公司强制对所有电子邮件账户进行密码重置,但被管理层拒绝。那么,对于遭遇数据泄露的公司,应强制执行密码重置吗?这种做法有什么缺点?
-
交友网站泄露事件过后:关于密码安全的大讨论
在Friend Finder Network的4亿用户账户泄露事件后,专家开始对密码安全的方方面面进行大讨论……
-
CISO的真正挑战:密码管理、IoT安全&合规性
在企业责任方面CISO似乎越来越接近其他的高管。不过有些CISO尚不知道如何与其他高管合作,另外一些CISO则仍然在试图弥合技术和业务之间的沟通鸿沟……那么,CISO面临的共同挑战是什么?
-
TeamViewer攻击事件:究竟谁之过?
过去一个月,用户的抱怨充斥着论坛,他们都在说类似的问题——即TeamViewer账户被攻破。用户指责TeamViewer攻击事件的责任在开发人员,而开发人员则称是用户的失误……