1. 背景:
随着企业信息化的不断推进,企业软件业务系统数量不断增加,例如 VPN 、ERP 、邮件、OA 等,每个系统的都需要登录,有些员工会经常出差登入企业内部系统,而目前大部分系统还是采用静态密码机制,那些 强度不高、且不经常更换的密码就成了企业的风险点,如何推动员工设置高强度密码且定期修改是摆在企业 IT的一个普遍问题。
笔者就几年在密码领域的一些浅薄经验与各位分享,结合典型公司的实际问题,抛砖引玉,如果有些不到位,欢迎各位达人拍砖!
2. 方法
下面以问答形式来解决上述问题。
(1) 什么是强密码?
答:这是一个入门级问题,笔者认为强密码至少含八个字符,包括字母、数字和符号的组合,易记但他人难以猜到,另外尽量少采用特征值,如生日、电话号码之类的。
(2) 如何在公司内推动强密码且避免密码遗忘的几率?
答:密码强度比较好推行,首次设定密码时设定一次就好,虽然密码一定难记、不直觉,但是使用者久了也会无奈地习惯。
一般都需要以制度的方式透过去强制使用者要定期修改密码,并且要改成强度够的密码,上至老总、下至普通员工、上行下效。
(3) 是否任何系统都需要强密码?
答:接下来一个问题,很多员工在执行的时候,是照做了,为了方便以及,最后的结果是所有系统密码都设置同样的,那么只要一个系统密码失窃,那么其他系统在帐号被获知情况下也会遭受风险,一般来说帐号被获取比较方便,很多企业为了方便是一员工标号 +固定字段作为帐号。
比较可行的方法是安全级别高的系统,如 VPN、财务等安全级别高系统强制设定高强度密码,且务必保持唯一,其他系统则不必。
(4) 密码修改周期多长比较合适?如何推动这项事情?
答:根据公司安全级别不同,有些是 30天,一般三个月比较适宜。
定期修改密码又要配合高强度密码,到最后只好用纸本记下来免得自己忘记,反而造成更严重的漏洞,所以这件事情需要处理好。
笔者认为将密码与安全管理配合,实行问责制度,若使用者因为密码外泄而造成公司损失,则需要负担多少责任,可在 IT管理制度明确定义,若是有定期修改密码但还是被入侵者,再行斟酌,再来透过修改密码时的日志文件来进行核查,对那些超过预期的用户发出更改密码提醒,设置公告机制,分别是预警、警告,强制修改。对于那些无视强制修改的用户,不更换账号立刻停用 (上至老总下至临时员工一视同仁 ),然后使用者有接口让其在身份确认后自行重新启用账号。
以下是一些网友对于定期修改密码的看法:
网游(阿紫)
虽然难记, 还是要习惯阿 不过我觉得时间大约是 3个月最适合 不长也不短 密码最好加入一些特殊字符 不过有些公司不开放
网友( ping)
看来大家好像都是三个月换一次
像我们公司是一个月换一次
烦死人了 ~
网友( doz)
我们公司也是每一季换一次密码。
一开始也是觉得很麻烦
后来就采用中文注音密码法
使用中文字的英文字来当作密码,通常 3-4 个中文字,作出来的密码强度是足够的
记忆上也容易,例如只要记忆「 IT 新闻」 , 但实际上的密码是「 ITau4a83 」
对使用不同输入法的人,同样的中文字,密码内容也会不同 .
结语:
密码管理方面不仅仅技术问题,很多时候是跟员工的职业操守和管理权责息息相关,也是 IT管理很重要的部分,随着技术的不断技术,动态口令的出现让密码管理变的豁然开朗,它不仅解决定期修改密码的烦恼,同时也是被认为最安全的密码保护机制, 85%以上的 500强企业在采用该项技术,网银、证券、第三方支付、网游等行业也有使用,目前应用比较广泛的动态口令技术有短信密码和硬件令牌,另外还有一种叫手机令牌,即安装在手机端的客户端软件,随着 3G时代的到来,能够安装软件的手机会越来越多,手机令牌会越来越普及。
为了形象,贴几种上来。
(1)手机令牌
(2)动态令牌
(3)短信密码
------------------------------------------------------------------------------
宁盾专注动态密码身份认证 - 短信密码 | 动态令牌(硬件令牌,手机令牌)
http://www.ndkey.com.cn
-------------------------------------------------------------------------------