爱德华·斯诺登 (Edward Snowden) 是否值得大赦或入狱,目前尚无定论,但值得争论的是,该机构对通行证的依赖意味着合同管理员斯诺登 (Snowden),能够欺骗员工的关键信息 -- 这些信息允许他仅仅通过索要就可以访问数以万计的机密文件。根据toReuters的说法,在斯诺登告诉他们他需要信息来完成工作后,有20至25名NSA员工愿意放弃他们的用户名和密码。尽管这个故事突出了一个国家组织的重大安全漏洞,但它也显示了任何公司的密码保护都可能是危险的
这里有五个原因,为什么是时候放弃密码作为防止数据渗透的第一道防线了。
1.密码重置是最常见的帮助台请求-而且成本很高。根据Gartner的研究,您的IT部门可能会忙于解决复杂的技术难题,但所有IT调用中有20到50% 个都是密码重置。研究小组Info-Tech估计,企业每年在密码相关支持和生产力损失上,每次通话花费70美元,每个用户花费118美元。虽然这些数字在不同的组织中会有所不同,但您的密码策略越复杂,您的支持团队对它的调用就可能越多。对于员工来说,忘记密码意味着沮丧和浪费时间。对于技术人员来说,密码重置既耗时又乏味。
2.超级黑客入侵您公司的文件并不难。原因是什么?根据trustwave的s2013全球安全报告,80% 的安全漏洞是由弱密码造成的。然而,全球企业使用的最常见密码仍然是 “密码1”。使问题复杂化的事实是,工人不会出于冷漠或无知而避开网络安全。相反,正如微软研究报告所显示的那样,他们这样做是因为,在努力时,选择基本密码最有经济意义。
但是,弱和可回收的密码对于可能的黑客和身份盗贼来说是一个福音。一旦黑客对用户的密码进行了解加密,他们就很容易尝试登录其他站点和应用程序。如果员工使用他或她在工作中使用的相同电子邮件地址和密码注册了被黑客入侵的服务,那么对您的业务的负面影响可能是巨大的。
3.大多数IT安全技术人员不了解云安全。令人震惊的全球信息安全员工中有89% 缺乏对云安全的全面了解。尽管在所有帐户中使用相同的密码会带来严重的安全风险,但2013年的调查显示,接受调查的技术安全人员的83% 就是这样做的。
基于云的文件共享服务的复杂性使得有价值的安全措施难以开发和实施。同时,由全职员工,独立承包商和外包支持组成的分散的全球劳动力意味着数据渗透的可能性每天都在增加。AMicrosoft研究报告显示,员工平均每天会使用相同或相似的密码登录各种帐户八次。
4.强迫员工不断更改密码并不能使数据更安全。McAfee和Norton的研究表明,超过40% 的用户只是简单地写下密码或将其存储在一个简单,易于访问的文本文件中,从而使帐户非常容易受到攻击。即使要求员工每90天更改一次密码,也无法降低您的安全风险。正如UNC-Chapel hillstudy所展示的那样,可以在不到三秒钟的时间内从旧密码中破解很大比例的更新密码。通常,黑客发现新更新的密码所需要的只是一种猜测原始密钥的方法,这要归功于网络上随时可用的免费开源软件,这一点变得越来越容易。
5.联邦政府已经犯了错误-因此您不必这样做。无论您在举报人方面处于辩论的哪一边,您都不希望在自己的队伍中找到一个人。能够访问敏感信息的愤怒员工可能会花费公司金钱,时间和来之不易的声誉。
那么,您应该如何确保数据安全呢?摆脱密码安全性的转变并不一定很困难,而且会使员工和雇主都受益。双因素身份验证系统,例如google的U2Freplace,所有密码都带有一个四位数的pin码和适合计算机USB端口的硬件。其他选项,例如单点登录,无需为每个帐户记住新密码。越来越多的基于web的应用程序允许公司使用称为saml的基于令牌的身份验证标准,从而有效地消除了对用户名和密码的需求。
您还可以采取一些临时步骤来为仍然需要传统用户名和密码的应用程序添加安全性。这些措施包括为密码设置强策略 (例如要求使用带有永久字符集的长密码),为每个帐户使用唯一密码,从不共享密码以及使用有助于支持这些最佳实践的工具。在支持它的所有应用程序中打开双因素身份验证有助于安全访问应用程序和基础数据。
从长远来看,密码最终会消失。你的身份 (你是谁) 和你的访问 (你可以使用什么) 之间是有区别的。随着公司开始意识到这一转变,我们已经看到越来越多的竞争成为个人和公司环境中的主要身份提供者。一旦以这种方式验证了身份,就可以安全地联合访问有或没有密码的应用程序。公司和个人将开始选择如何验证自己的身份。
河马的莎拉·拉布里 (Sarah LaBrie) 的贡献
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
