对于爱德华·斯诺登是应得赦免还是入狱时间,目前尚无定论,但没有争议的是,该机构对密码的依赖意味着合同管理员斯诺登能够从关键信息中欺骗员工。这样一来,他就可以通过索要访问成千上万的机密文件。据路透社报道,在斯诺登告诉他们需要信息才能完成工作后,有20至25名NSA员工愿意放弃他们的用户名和密码。这个故事着重说明了 组织的重大安全漏洞,同时也说明了任何公司的密码保护都可能是危险的
现在是时候放开密码作为防止数据渗透的第一道防线了,这有五个原因。
1.密码重置是最常见的帮助台请求,而且成本很高。 根据Gartner的研究,您的IT部门可能看起来忙于解决复杂的技术难题,但是所有IT呼叫中有20%到50%的任何地方都是用于密码重置的。研究小组Info-Tech估计,企业每年在与密码相关的支持和生产力下降方面,每个电话花费70美元,每个用户花费118美元。尽管这些数字在不同组织中会有所不同,但是您的密码策略越复杂,支持团队对IT的呼叫就越多。对于员工而言,忘记密码意味着无奈和浪费时间。对于技术人员而言,密码重置既费时又乏味。
2.超级黑客入侵您公司的文件并不难。原因?根据Trustwave的《2013年全球安全报告》,百分之八十的安全漏洞是由弱密码引起的。但是,全球企业最常用的密码仍然是“ password1”。使问题复杂化的事实是,员工不会出于冷漠或无知而避开网络安全性。而是,正如本Microsoft研究报告所显示的那样,它们之所以这样做是因为在进行工作时,选择基本密码最经济。
但是,脆弱且可循环使用的密码对于潜在的黑客和身份盗用者来说是福音。一旦黑客对用户的密码进行解密,他们很容易尝试登录其他站点和应用程序。如果员工使用他或她在工作中使用的相同电子邮件地址和密码注册被黑客入侵的服务,则对您的业务造成的负面影响可能是巨大的。
3.大多数IT安全技术人员都不了解云安全性。令人震惊的全球信息安全人员总数中有89%缺乏对云安全性的全面了解。尽管在一个人的所有帐户中使用相同的密码会带来严重的安全风险,但2013年的一项调查显示,接受调查的技术安全人员中有83%确实做到了这一点。
基于云的文件共享服务的复杂性使得难以制定和执行有价值的安全措施。同时,由全职员工,独立承包商和外包支持组成的分散的全球员工队伍意味着数据渗透的潜力每天都在增加。一份Microsoft研究报告显示,员工平均每天使用相同或相似的密码登录八次平均每个帐户。
4.强迫员工不断更改密码不会使数据更安全。迈克菲(McAfee)和诺顿(Norton)的研究表明,超过40%的用户只是简单地写下密码或将密码存储在简单,易于访问的文本文件中,从而使帐户极易受到攻击。即使要求员工每90天更改一次密码,也无法降低您的安全风险。正如UNC-Chapel Hill的一项研究表明的那样,可以在不到三秒钟的时间内将很大一部分更新的密码从旧密码中破解掉。通常,黑客发现一个新近更新的密码所需要的只是猜测原始密钥的一种方法,这要归功于网上提供的免费开放源代码软件,这种操作变得越来越容易。
5.联邦政府已经犯了错误-因此您不必这样做。无论涉及举报者,您处于辩论的哪个方面,您都有可能不愿在自己的队伍中找到一个。生气的员工有权访问敏感信息,可能会花费公司金钱,时间和来之不易的声誉。
那么,如何确保数据安全呢?摆脱密码安全性不一定很困难,并且可以使员工和雇主受益。诸如Google的U2F之类的两因素身份验证系统将所有密码替换为一个四位数的个人识别号,以及可插入计算机USB端口的硬件。其他选项(如单点登录)免除了记住每个帐户的新密码的需要。越来越多的基于Web的应用程序允许公司使用称为SAML的基于令牌的身份验证标准,从而有效地消除了用户名和密码的需求。
您还可以采取一些临时步骤来为仍需要传统用户名和密码的应用程序增加安全性。这些措施包括为密码设置严格的策略(例如要求使用具有不同字符集的长密码),为每个帐户使用唯一的密码,从不共享密码以及使用有助于支持这些最佳做法的工具。在支持它的所有应用程序中启用双重身份验证有助于保护对应用程序和基础数据的访问。
从长远来看,密码最终会消失。您的身份(您是谁)和访问权限(您可以使用什么)之间是有区别的。随着公司开始意识到这一转变,我们已经看到越来越多的竞争成为个人和公司环境中的主要身份提供者。一旦以这种方式验证了身份,就可以安全地联合访问带有或不带有密码的应用程序。公司和个人将开始对他们要如何验证其身份进行选择。
标签: 密码