【TechTarget中国原创】用户ID和密码系统是最古老的数字认证方式。这种类型的认证系统可以简单的提示用户输入她或他的ID和密码以获得对系统的访问,这是实行和使用都很简单的方式,但是他们也有很大的安全风险。
密码的最大问题之一就是他们可以被共享、猜到或者滥用。企业应该在如何恰当地处理密码上对用户进行教育。在对用户的密码指南中最重要的是密码永远不应该写下来。通常员工会把密码记下来帮助他们记忆大量信任状。排除这个问题的方式之一是不要使用多个密码。如果用户在企业系统中有一个ID和密码——典型的是企业的单点登录——把他们记下来的可能下就大大减少了。
企业还应该对用户制定策略,说明如何选择安全的密码。用户密码应该完全和用户的ID无关。密码的最小长度应该是八个字符,并包含字母和数据,以及大小写的字符。如果企业运行的是微软的系统,有个简单的方法可以查看是否符合密码策略,就是Windows Server中的使“密码必须满足复杂性要求”的安全设置。这些设置要求用户的密码满足特别的指导原则,而如果不满足,用户将会收到错误信息,强制在企业系统激活前重设密码,以满足特殊的安全条件。
通常,攻击者通过猜测一般用户的ID或者密码“强力破解”获得对系统的访问。大部分的企业使用员工名字的第一个字母,然后接上他或她的姓氏最为ID,这使得黑客可以及其简单地获取企业中所有用户的ID。
企业应该要求员工定期更改密码,大部每60到90天改一次。使用密码允许访问极端敏感的数据的时期应该更短。用户不应该可以重新使用他们的旧密码,并且要保证所有的密码都和用户ID完全不同。
遵守密码的最佳做法,不仅可以改善企业安全,还可以帮助企业遵守一些法规最访问控制的要求,例如HIPAA, SOX(the Sarbanes-Oxley Act)和支付卡行业数据安全标准(PCI DSS)。
密码破解
密码破解的程序和工具有很多,他们也被叫做密码破解器,企业可以用于对他们目前的密码系统进行风险评估。对自己的系统进行黑客行动的方法可以帮助企业认识安全风险,并在恶意攻击发生前清除不安全的密码。它还可以帮助通过处理法规问题在问题被审计原或者黑客攻击消费者信息之前就解决可能的法律纠纷。流行的密码破解工具包括John the Ripper和微软基线安全分析器 (MBSA)。
决定使用道德黑客的人必须首先获取密码将被暴露的终端用户和企业管理的许可。在运行了软件并获得了结果后,企业可以决定目前密码系统的风险等级。这可以帮助评估新的认证形式时候需要实施,或者是否需要对员工进行关于如何恰当地使用和创建密码的简单培训。