许多企业花费了许多精力在技术部署上,各种技术性防护措施部署非常到位,但是却难以杜绝员工使用弱口令。密码被黑客获取,就好比小偷得到家里的钥匙,即时防盗门再好也无济于事。因此,解决弱口令问题,关键在于采取适当的解决方法。通常情况下,大部分企业会选择这些做法:
一、进行员工培训,提高员工的网络安全意识
二、在制度上严格规定,规范公司账号密码使用方法
三、通过技术手段对弱口令进行限制
弱口令不是简单的管理问题,每个人都有使用固定的密码的习惯。培训和制度的约束很难改变一个人的行为习惯,况且培训和制度的约束效果无法量化,实施起来收效甚慢,弱口令也不是一个单纯的技术问题。比如我们可以通过技术手段强制要求密码的复杂策略,但是防不住员工把密码贴在显示器上,这也是弱口令导致泄露事件频发的原因之一。因此规避弱口令问题,企业必须从管理和技术等多方面着手。
规避弱口令风险,可以尝试这样做
一、统一集中管理认证凭据
1、对于系统类的,Windows有域策略,可以强制要求密码复杂度策略。
2、*nix类的系统可以通过LDAP的方式集中管理。
3、对于高危服务类,比如MySQL、FTP、Redis、SVN、Git、Rsync等常被黑客利用的高危服务,由于业务特性极少做统一的管理,那么可以要求它们限定访问来源。
4、对于私有服务类,这里是指一些自己写的后台接口,在了解具体协议和用法之后,很多人也不会去做鉴权控制,所以只要是潜伏时间足够长,往往都有惊人的权限。同理,能够做统一集中的鉴权最佳,否则至少限制来源访问。
二、废弃传统静态密码,或不仅仅使用传统密码
一旦完成了统一集中管理,就可以做到首次认证,后续携带登录状态自动登录其它系统。这样你可以在首次认证的时候,在密码的基础上加入动态密码或生物识别验证。
小编推荐阅读