问:作为小企业,我正在考虑像1password、Roboform或lastpass这样的程序。对于提供PC与Mac程序的兼容性,你有什么建议吗?这些程序能否保证敏感信息的安全?以及,如果可能的话,是否能为多个用户提供服务,并且允许某些人访问特定的密码和信息?这些程序是否可以在多台计算机上和网络上使用? 答:我要说的是,我并不非常热衷于密码安全库(password security vaults)。许多用户想用一个简单的方法来创建和维护许多系统的验证信息,我理解你们这种心情,但这些工具都仅仅只是对错误进程和非集成系统的本地认证起到一个“创可贴”的作用而已。密码库是来减轻严格密码政策的负担的,……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
问:作为小企业,我正在考虑像1password、Roboform或lastpass这样的程序。对于提供PC与Mac程序的兼容性,你有什么建议吗?这些程序能否保证敏感信息的安全?以及,如果可能的话,是否能为多个用户提供服务,并且允许某些人访问特定的密码和信息?这些程序是否可以在多台计算机上和网络上使用?
答:我要说的是,我并不非常热衷于密码安全库(password security vaults)。许多用户想用一个简单的方法来创建和维护许多系统的验证信息,我理解你们这种心情,但这些工具都仅仅只是对错误进程和非集成系统的本地认证起到一个“创可贴”的作用而已。密码库是来减轻严格密码政策的负担的,严格的密码政策要求很复杂的密码,以至于用户无法记住或者必须要把它们写下来。这个密码库也可以用来解决密码过多的问题,这是由每个商业应用程序都要存储自己的证书而造成的。
在执行一个密码库时,我建议你再看一遍你的组织策略。如果他们由于过期时间短或者密码很长而过于繁琐的话,那么它们会造成更多的安全风险,而不仅仅是没有集成。如果是后一种情况,即应用程序没有被集成,那么我会寻找一个单一登录(SSO)的产品,而不是一个密码库来解决这个问题。SSO允许用户提供一个密码来访问多个系统,并且不必对基础设施进行过大改动。
在重要的身份管理过程中,SSO比保持一个密码库并要求用户保持多个密码要容易实现得多,风险性也会更小。此外,两者之间的成本差异不大,因为两者都需要整合、维护和管理支持。不过,如果你还想深究密码库这条路线的话,我想你已经发现了一些更好的为小企业准备的产品,而我很可能会看lastpass,之后是RoboForm程序,不过这还需要更多的信息来进行选择。
除此之外,仍然还有许多问题需要搞清楚:你的用户将要登入的是什么样的终端系统和操作系统?用户要存储多少密码?你在问题中提及的“某些人”指的是谁?你的预算是多少?不管你做什么,请你记住,当你在走向一个更加一体化的认证基础设施时,密码库只是其中的一小步而已,你不应该把它视为一个长期的解决方法。
翻译
相关推荐
-
访问控制的演进:挖掘基于属性的身份管理的潜能
TechTarget记者采访了Radiant Logic公司销售和业务发展副总裁Dieter Schuller,与其共同探讨了基于属性的身份管理的潜能。
-
金融行业安全指导
安全是金融行业永远的话题。现在网络犯罪分子们越来越多的利用综合渠道,包括网络,手机,邮件等,制造机会,跟踪欺诈消费者。本技术手册将从三个方面为您提供详细的安全策略,包括:金融安全风险及挑战,案例学习:金融安全启示录和金融安全最佳实践。
-
自助式身份管理缺陷和应对措施
实施IAM自助服务的风险是巨大的。那么有什么方法可以用来减轻风险,从而达到我们可以接受的限度呢?
-
自助式身份管理风险:IAM数据质量
随着身份管理人员工作量的不断增加,许多机构都在寻找一种自助式的身份管理模式,这种模式使IT终端用户能够管理自己的身份管理文件和访问。