增强中小企业密码安全性的四种途径

ZDNET安全频道 05月02日 原创翻译： 想要员工保证遵守严谨的密码策略是相当困难的，但是对于那些可能会使用“password123”密码的员工来说，也有针对他们的保护措施。

不管是何种规模的企业，密码的应用都是一个相当薄弱的环节，许多中小型企业都被动地依赖员工，希望他们能够做出正确的选择去使用强效密码。

然而不幸的是，大多数员工并没有给自己的设备做出正确的选择，要么是因为缺乏安全意识，要么就是觉得太过繁琐；当人们面对密码设置时，往往会做出错误的选择。根据2012年9月CSID身份管理和欺诈保护公司的消费者调查显示，尽管有接近90%的人认为他们应该选择一个好密码，但61%的人仍然在不同的网站重复使用自己的密码，仅有半数的人有可能会有5个或更少的密码组合。

虽然创建一个密码策略和进行员工安全教育是良好的第一步，但这并不足以说服用户去选择好密码，Joe Siegrist告诉我们。Joe Siegrist是身份管理服务供应商LastPass公司的共同创始人兼首席执行官。

“我们普遍认为这一策略已被人们所忽略，除非是企业强迫用户去执行。” Siegrist说。“有95%的人认为尽管他们了解了很多有关的安全政策，但如果不是被强迫制执行的，那么这些政策基本上就等于是形同虚设。”

中小型企业经常会容忍员工们对密码设置的不规范操作，虽然有四分之三的职工会为了安全而去增强密码，但同时他们也会设置简易密码，为了能够更有效地访问他们的账户而做出妥协。

CSID在报告中指出，“业务的可靠性由安全度最低的链接或与之相关的密码决定，无论二者源自客户、合作伙伴还是内部员工。”

对于那些想让员工使用更为安全的密码的企业，下文给出了四条建议。

具备可视性权限

中小企业通常都不了解他们的员工使用内部系统时所设置的密码强度，也不知道他们是否在用外部服务密码或者他们是否具有多个不同的密码。企业设置可视性权限的第一步应该是通过中心系统管理员来进行员工凭证的管理，或者使用云服务中的密码管理服务，还可以使用完整的身份和访问管理（IAM）解决方案。

若没有上述几种系统，企业只能盲从地面对严峻的安全风险，LastPass公司的Siegrist说。

“然而令人生畏的是大多数人并不知道目前的状况到底是好是坏，所以，如果你没有任何工具或是程序，你最好尽可能地想出一些提高安全的办法。”他说。

LastPass公司的策略，例如，给每个员工当前的账户密码进行安全评分。若是连公司管理者都不能获取他们自己的密码，就可以发现他们的员工没有遵守相关的安全政策。

密码的集中管理

即使企业不需要一个完整的IAM系统，密码的集中管理也已能洞悉员工们的密码设置习惯。企业应牢牢掌握住员工账户管理的控制权，既可以添加新员工的账号密码也可以进行删除，这样即便在离职员工中有心怀不满者，也可以将其安全风险大大降低。

云身份认证服务供应商Ping Identity的首席技术官Patrick Harding认为，“随着企业的发展，内部人员可能会增加到50或100人，想要追踪职员们已添的加账户都加入到了哪些不同的应用程序中，不仅过程非常繁琐，其成本可能也会非常昂贵。”

Ping Identity公司的产品通过使用单点登录的方式消除了许多云应用程序的密码，以安全声明标记语言（SAML）取代密码来安全地访问在线账户。

选择单一入口点

除了要对身份存储进行集中管理之外，企业还可从简化用户需求，使用一凭证一登陆的方法入手，并从中受益。通过对用户登陆密码输入次数的限制，企业可以提高员工的效率，以及将其集中在单一通道中，以确保安全，Harding讲道。

“如果你每天只有一次验证，那么此身份验证要大大强于一个密码，甚至优于强效密码。”他说。

使用电子邮件账户的双因素身份验证可兼作单点登录系统的登陆凭据。

改善员工行为

最后，企业应该教育员工选择有效的密码口令，从而改善他们的密码管理。LastPass的Siegrist说，如果员工们总是重复使用密码，则要及时提醒他们公司的政策是反对密码的重复使用的。若员工们没有及时更新旧密码，也需要马上提醒他们。