执行强密码安全机制
学习目标
完成本单元后,您将能够:
- 定义强密码安全机制。
- 说明强密码管理器如何保护密码。
使用强密码安全机制
密码安全机制对于内部组织系统而言,和访问电子邮件、日历和其他与工作相关的应用程序的凭据一样重要。企业在保护自己免受外部危险方面做得再好,密码仍然存在安全威胁。因此,您应该要求用户对他们可访问的所有数据库和系统使用唯一凭据。
密码风险包括使用弱密码、重复使用密码以及通过错误的存储或加密(使用算法进行干扰、编码和保护)方式不恰当地处理凭据。实施强密码的一种方式是使用密码管理工具。
强密码安全机制分为两部分:对您访问的每个服务使用唯一强密码以及将密码储存在受保护的地方。让我们看一些确保密码安全的最佳实践。
使用唯一的强密码
对所访问的每个服务使用强密码。注意不要重复使用密码,这一点尤其重要。重复使用密码或使用只有微小变化的密码是很有吸引力的,因为保持对多个帐户使用长而复杂的密码是很乏味的。但是,重复使用密码会让组织很容易出现安全漏洞。
如果您重复使用密码,即使变化很小,获得一个帐户密码的黑客也可以访问您的其他帐户。许多重大的安全漏洞已经以这种方式发生,影响了各行各业的组织,导致员工社交媒体帐户、客户银行帐户,甚至国家安全系统泄露。密码管理器是尽量降低风险的最佳方式。
使用密码管理器
虽然设置强密码至关重要,但保护这些密码的机密性同样重要。唯一的强密码很难记住,因此,保留密码的硬拷贝很有吸引力。遗憾的是,这种做法可能导致严重的安全危害,因为硬拷贝可能会暴露,尤其是在开放式办公室中。下次您想将密码写在便利贴或笔记本上时,请三思!
您可能看到过“密码安全机制”这样的字眼,指的是以下密码最佳实践。强密码安全机制有助于防止您的系统被攻击者攻破。确保为帐户使用强密码并且不重复使用这些密码的最简单方法是使用密码管理器。大多数密码管理器都内置随机密码生成器,并且会实时收集用户名和密码。管理器会将这些用户名和密码存储在安全的数据库中,这样您不必记住每个网站的不同且唯一的强密码。
您的组织可以为您提供密码管理器,但是即使组织没有提供,您仍可以自己选择一个。密码管理器会安全地保存您的站点、管理您的登录、生成随机密码并将其存储在安全的数据库中,无需记住您使用的每个服务的复杂强密码。
密码管理器可存储的内容
虽然密码管理器是实施强密码的好方法,但您必须注意不要将其用于系统管理员或特权帐户。对于特权帐户,使用保管库或对您的机密进行加密的特权密钥管理系统。
使用密码管理器时遵循这些最佳实践。
- 主密码的复杂性至少与密码管理器中存储的最复杂密码匹配。
- 为密码管理器选择一个至少包含 16 个字符的主密码,其中包括以下几类:大写字母、小写字母、数字和符号。
- 使用通行短语。通行短语是用于身份验证的类似句子的单词字符串,比传统密码长,易于记忆且难以破解。您可以添加空格、用特殊字符或数字替换字母以增加安全性。
- 将您的密码管理器设为使用多重身份验证 (MFA) 进行登录。
添加多重身份验证防御
很多组织已转移到 MFA,在允许访问系统之前识别用户验证。有三种因素可用于验证:1) 您拥有的东西;2) 您知道的事情,或 3) 您的身份。MFA 要求您至少使用三类因素中的两种进行验证。
例如,当您登录时,您可以使用 MFA 用您知道的事情(如密码)和您的拥有的东西(如手机上的应用程序或硬件令牌)验证您的身份。实施 MFA 可以保护密码免受攻击,如网络钓鱼攻击,其目的在于收集凭据以未经授权访问受害者的计算机。使用 MFA 时,即使攻击者能够破解您的密码,他们仍需要访问第二个因素,如您的手机或硬件令牌才能攻破您的帐户。
确保始终使用 MFA 访问密码管理器,该管理器为其存储的所有机密提供最高级别的保护。不同的密码管理器系统需要不同的验证方式。其中包括基于软件的验证器,如 Google 验证器、基于硬件的验证器(如 YubiKey)或其他方法(如生物识别)。
现在您了解如何保护您的个人密码,让我们看一下如何保护您的管理员凭据。
