企业密码管理为何仍然是一个难题？

你的密码安全吗？

每个人都有自己的习惯。当然，聪明的人知道不要使用容易猜到的密码，比如“12345”或“Password”。但是，一旦您锁定了一个你真正喜欢并容易记住的密码，你就有可能在你不常访问但希望记住密码的网站上再次使用该密码。一个站点变成了两个，然后变成了三个，突然之间，这个密码成为了很多网站的默认密码。

你的密码安全管理失败了。在商业世界中，这个问题可能会给整个企业密码管理带来麻烦。

只要有多个密码需要记住，不良的密码安全就一直困扰着商界。然而，远程工作的混合以及电子商务和在线交易的增多增加了新的风险水平。一项研究发现，四分之一的人正在各类 app 上使用同一个密码。

Acceptto 技术副总裁 Alan Krassowski 说，“长期以来，安全专家建议在每个系统上使用不同的密码。实际上，这对于用户来说非常难以管理。要记住数十个或数百个网站的密码，会有太多的精神负担。”

为什么密码回收会损害企业

每当员工根据消费者需求回收商业密码时，都会打开公司潜在的数据泄露或网络事件的大门。确实，这是简单的数学运算。密码使用得越多，在某个时刻它就越有可能被泄露。我们了解到的有关数据泄露的一件事是用户名或电子邮件泄露，密码通常存储时不加密。如果有人使用他们的工作电子邮件和工作密码进行网上购物，数据泄露可以使网络罪犯获得用户在工作中可以访问的任何敏感数据的密钥。从那里，他们可以进入整个网络。

Thycotic 首席安全科学家兼咨询首席信息安全官 Joseph Carson 警告说，当你回收任何密码时，您可能已经成为网络犯罪的受害者了。

他说：“如果您继续重复使用旧密码，那就像打开家门，邀请网络犯罪分子进入您的家一样。”

在这种情况下，是进入你的工作场所。

商业密码管理有待改进

人们很容易责怪员工将密码从工作中循环使用到消费者，但雇主也有过错，因为他们没有做足够的工作来改进他们的整体业务密码管理系统。根据报告：

•接受调查的企业中有四分之一不需要员工经常更改密码。

•超过四分之一的受访者表示，当他们访问敏感的工作文件时，不要求远程工作人员在他们的设备上运行公司特定的安全软件。

•将近三分之一的人在连接到网络时不需要任何类型的安全访问工具，例如 VPN。

由于缺乏密码管理和最佳密码安全实践，组织将面临更高的凭证填充的风险。

Ivanti 首席安全官 Phil Richards 在一份正式声明中表示：“FBI 在 2020 年 9 月发布了一个警告，称凭证填充攻击增加，然而消费者仍然使用工作电子邮件和密码登录应用程序和网站，使企业面临凭证填充攻击的重大风险。”

如何阻止密码回收等问题？

在想象的完美世界中，没有人会回收他们的密码。每个人都将使用一个强大而独特的密码来进行所有操作。他们还会使用密码管理器或某些个人系统来确保他们永远不会忘记那几十个密码。最后，他们会定期更改密码，以领先于网络犯罪分子。

但是，我们并不是生活在一个完美的世界中。围绕密码重用的威胁将继续存在。IT 和安全决策者需要介入以解决该问题。

加强企业密码管理：无密码

一种选择是完全消除对密码的需求。无密码选项使用令牌或其他已绑定到用户的方法，例如智能手机或生物识别技术。此选项有助于降低凭据填充的风险，因为它需要用户证明自己的身份。

多因素身份验证

第二种选择是增加身份验证所需的步骤。

Krassowski 说：“可以通过多因素身份验证（MFA）来增强密码，”他还警告说，"威胁参与者在破解 MFA 代码方面已经有所改进, MFA 通过使用两个或多个独特因素来验证您的身份，为攻击者进入计算设备、数据库或网络提供了分层防御。”

零信任

Ivanti 首席安全官 Phil Richards 提倡建立零信任模型。

他在一份声明中说：“所有行业的公司都必须实施零信任模型，以确保访问公司信息、应用程序或网络的实体有效并且不使用被盗的凭证。”

在零信任的情况下，由于用户经过验证，密码和用户名被泄露的风险会降低。

报告还说：“此外，随着远程工作的持续进行和设备的不断增加，零信任安全可以使实施可接受的使用策略变得更加容易，包括使用多因素身份验证，设备保护和安全的网络连接。”

企业密码管理中的人为因素

除非公司能够使用强大的密码或其他凭据管理系统来安装可提高网络安全性的系统，否则他们应确保对员工进行安全培训。

“密码卫生应该始终是员工培训和网络意识培训的一部分，”Carson 说。“组织必须帮助员工将密码移到后台，这样他们就不必选择或记住密码。”

无论选择哪种方式，组织都需要应对重用企业密码供个人使用的风险。通过减少不良企业密码管理的威胁，您的企业也会相对减少许多安全事件和数据泄露带来的风险。

文章来源：https://securityintelligence.com/articles/why-business-password-management-struggles/

关于我们

「龙归科技」 是一个专注于低代码赋能企业级信息化服务提供商。核心创始人团队来自绿盟安全、红帽开源操作系统、知名游戏玩蟹科技、知名开源社区等专家共同创立。

「龙归科技」 致力于让中国每一个企业拥有专属的自动化办公操作系统，助力企业或政府拥抱 （Cloud Native First）云原生优先战略，帮助客户构筑以「身份与应用」为中心的现代化 IT 基础设施！从而实现 「数字化转型」 及 「软件行业工业化生产」 ！

主打产品：ArkOS 方舟操作系统：一个企业级办公自动化操作系统 ，结合自研低代码应用开发平台，构建产业生态，专注为各类企业与组织机构打造一体化全栈云原生平台。系统自带应用包括：ArkID 统一身份认证，ArkIDE，ArkPlatform，App Store 等产品。截至目前，公司已经获得 15 个 软件著作权、2 个发明专利，并与 2020 年 11 月份，获得北京海淀区中关村国家高新技术企业认定。

相关链接：

官网：https://www.longguikeji.com/

文档：https://docs.arkid.longguikeji.com/

开源代码仓库地址：

https://github.com/longguikeji

https://gitee.com/longguikeji

历史文章

1. 登录的轮子，你还在造？
   

2. 企业级单点登录——信息化体系建设基础
   

3. 远程办公，你准备好了吗？
   

4. 企业信息化，怎样才算数？
   

5. 龙归科技 | 对未来的若干猜测
   

6. 龙归科技 | 企业办公自动化的未来
   

7. 龙归科技 | 软件的成本下降
   

8. 龙归科技正式加入openEuler社区