許多企業(yè)花費(fèi)了許多精力在技術(shù)部署上�,各種技術(shù)性防護(hù)措施部署非常到位�����,但是卻難以杜絕員工使用弱口令�。密碼被黑客獲取�,就好比小偷得到家里的鑰匙,即時(shí)防盜門再好也無濟(jì)于事�。因此,解決弱口令問題���,關(guān)鍵在于采取適當(dāng)?shù)慕鉀Q方法��。通常情況下���,大部分企業(yè)會(huì)選擇這些做法:
一、進(jìn)行員工培訓(xùn)���,提高員工的網(wǎng)絡(luò)安全意識(shí)
二���、在制度上嚴(yán)格規(guī)定�,規(guī)范公司賬號(hào)密碼使用方法
三�、通過技術(shù)手段對(duì)弱口令進(jìn)行限制
弱口令不是簡(jiǎn)單的管理問題,每個(gè)人都有使用固定的密碼的習(xí)慣�����。培訓(xùn)和制度的約束很難改變一個(gè)人的行為習(xí)慣�����,況且培訓(xùn)和制度的約束效果無法量化���,實(shí)施起來收效甚慢����,弱口令也不是一個(gè)單純的技術(shù)問題���。比如我們可以通過技術(shù)手段強(qiáng)制要求密碼的復(fù)雜策略���,但是防不住員工把密碼貼在顯示器上����,這也是弱口令導(dǎo)致泄露事件頻發(fā)的原因之一���。因此規(guī)避弱口令問題�,企業(yè)必須從管理和技術(shù)等多方面著手�����。
規(guī)避弱口令風(fēng)險(xiǎn)�,可以嘗試這樣做
一����、統(tǒng)一集中管理認(rèn)證憑據(jù)
1、對(duì)于系統(tǒng)類的���,Windows有域策略���,可以強(qiáng)制要求密碼復(fù)雜度策略����。
2�、*nix類的系統(tǒng)可以通過LDAP的方式集中管理。
3����、對(duì)于高危服務(wù)類,比如MySQL�、FTP、Redis�、SVN、Git�����、Rsync等常被黑客利用的高危服務(wù)����,由于業(yè)務(wù)特性極少做統(tǒng)一的管理,那么可以要求它們限定訪問來源���。
4���、對(duì)于私有服務(wù)類����,這里是指一些自己寫的后臺(tái)接口���,在了解具體協(xié)議和用法之后�����,很多人也不會(huì)去做鑒權(quán)控制���,所以只要是潛伏時(shí)間足夠長(zhǎng),往往都有驚人的權(quán)限�。同理,能夠做統(tǒng)一集中的鑒權(quán)最佳���,否則至少限制來源訪問��。
二、廢棄傳統(tǒng)靜態(tài)密碼����,或不僅僅使用傳統(tǒng)密碼
一旦完成了統(tǒng)一集中管理,就可以做到首次認(rèn)證���,后續(xù)攜帶登錄狀態(tài)自動(dòng)登錄其它系統(tǒng)。這樣你可以在首次認(rèn)證的時(shí)候,在密碼的基礎(chǔ)上加入動(dòng)態(tài)密碼或生物識(shí)別驗(yàn)證��。
小編推薦閱讀
