企業(yè)的安全管理可以說(shuō)是一個(gè)惡性循環(huán)。當(dāng)某種安全違規(guī)行為發(fā)生時(shí)，企業(yè)就會(huì)增加一個(gè)新的安全級(jí)別，這無(wú)形中就增加了用戶在實(shí)際工作中的麻煩，進(jìn)而開(kāi)始尋求解決這些麻煩問(wèn)題的解決方法。然后就出現(xiàn)了安全違規(guī)行為的一個(gè)突破口，這一惡性循環(huán)又重新開(kāi)始了。

“每當(dāng)我們?cè)庥龅侥骋话踩笨跁r(shí)，企業(yè)IT安全責(zé)任部門就會(huì)將'安全圍欄'增高三英尺，并指望用戶來(lái)'挑戰(zhàn)'這三英尺高的圍欄。”位于安大略省的SecureKey Technologies公司首席身份官Andre Boysen表示。

許多用戶管理多個(gè)站點(diǎn)賬戶所采用一套應(yīng)對(duì)方法是多站點(diǎn)共用同一密碼。這樣，一旦其中任何一處站點(diǎn)的密碼遭泄露，那么，所有這些賬戶就可能都受到影響，包括那些與工作相關(guān)的賬戶。

“鑒于我們?cè)诿艽a管理方面的安全狀況已然夠糟糕的了，而第二大因素使得現(xiàn)狀變得更糟。”他說(shuō)。文本信息、智能手機(jī)的應(yīng)用程序、USB、聲音，視頻和指紋掃描儀，這些技術(shù)的廣泛普及，成為了安全管理威脅的第二大因素，使得安全管理工作簡(jiǎn)直沒(méi)有盡頭，也沒(méi)有明確的贏家。

“這無(wú)疑加劇了用戶在實(shí)際中的困惑。”他說(shuō)。

一些企業(yè)正在通過(guò)減少用戶的密碼數(shù)量來(lái)解決這一問(wèn)題，利用密碼管理工具來(lái)幫助他們管理他們的密碼，并切換到更人性化的第二因素系統(tǒng)，如智能手機(jī)應(yīng)用程序。

如下，是企業(yè)可以用以借鑒參考解決相關(guān)密碼管理問(wèn)題的五種方法：

1、基于云的密碼管理服務(wù)

實(shí)現(xiàn)單點(diǎn)登錄對(duì)于一家實(shí)施集中管理的企業(yè)是足夠的。而當(dāng)試圖將其強(qiáng)加在一些自主自治性的部門則幾乎是不可能的。

這正是Rotary International公司所面臨的密碼問(wèn)題。這家全球性的服務(wù)機(jī)構(gòu)擁有120萬(wàn)會(huì)員，分屬于34000家不同的俱樂(lè)部。

由于這些成員俱樂(lè)部都是自治的，這樣可能在一處俱樂(lè)部網(wǎng)站用戶有一個(gè)登錄名和密碼，而到另一處區(qū)域性的網(wǎng)站又有另一套相關(guān)的賬戶密碼，而了國(guó)家地域級(jí)別的網(wǎng)站又有一套單純的賬戶密碼，甚至對(duì)于移動(dòng)應(yīng)用程序和相關(guān)配套開(kāi)發(fā)的其他服務(wù)，又有一套密碼系統(tǒng)。

“這無(wú)疑是相當(dāng)混亂的。” 這家位于伊利諾伊州埃文斯頓的Rotary International公司CIO彼得·馬科斯說(shuō)。

我們所面臨的挑戰(zhàn)問(wèn)題是要在整個(gè)企業(yè)范圍內(nèi)進(jìn)行安全更新，包括那些實(shí)行自主性管理的俱樂(lè)部網(wǎng)站。 “這引導(dǎo)我們開(kāi)始采用云服務(wù)。”他說(shuō)。具體來(lái)說(shuō)，他們選擇了Octa，這是一家按需身份和訪問(wèn)管理的服務(wù)供應(yīng)商。

另外，云交付意味著Rotary公司將得到持續(xù)的改進(jìn)。“我們現(xiàn)在可以提供安全即服務(wù)。”他說(shuō)。本地的俱樂(lè)部可以發(fā)送登錄請(qǐng)求到上級(jí)組織，其可以作為中央的樞紐連接其所有的俱樂(lè)部成員。

“其簡(jiǎn)化了俱樂(lè)部的管理。”他說(shuō)。“他們無(wú)需自行管理自己的用戶了，也大大方便了俱樂(lè)部的用戶成員，使整個(gè)企業(yè)的資源能夠更便捷的在全球范圍內(nèi)訪問(wèn)。”

整個(gè)過(guò)程中最難的部分是將個(gè)別俱樂(lè)部納入到整個(gè)企業(yè)的用戶管理系統(tǒng)。大約8000家俱樂(lè)部使用了現(xiàn)成的俱樂(lè)部管理軟件，現(xiàn)在，整個(gè)渠道都能夠已經(jīng)可以 采用安全即服務(wù)了。另外1000家左右的俱樂(lè)部切換到自己的管理系統(tǒng)。馬科斯說(shuō)，使用率的普及起步慢，但他希望隨著技術(shù)自身不停的得到驗(yàn)證，并達(dá)到臨界質(zhì) 量，其部署采用率將得到逐步提高。“但仍然有很多俱樂(lè)部并不愿意放棄他們的控制權(quán)。”他補(bǔ)充道。

Rotary公司也正在改變其自身看待密碼的方式，不再固定的采用他們?cè)?jīng)的標(biāo)準(zhǔn)的八個(gè)字符的密碼。

“我們正在尋求擺脫僅僅依靠由特殊字符，大寫(xiě)字母，數(shù)字，和增加密碼字符長(zhǎng)度的方法，而鼓勵(lì)他們使用一個(gè)短語(yǔ)。”他說(shuō)。“這樣的密碼長(zhǎng)度足夠，能夠提供足夠的密碼安全，并解決蠻力型攻擊，而我們的成員將更容易記住這種短語(yǔ)型的密碼。”

2、現(xiàn)成的密碼管理軟件

Secure-24公司是一家總部位于底特律的托管企業(yè)，服務(wù)于汽車業(yè)，制造業(yè)和醫(yī)療保健業(yè)等企業(yè)。該公司也同樣面臨著密碼管理的問(wèn)題，他們需要為其客戶進(jìn)行密碼管理，而這些客戶需要能夠確保自己安全地訪問(wèn)他們的系統(tǒng)。

“客戶會(huì)要求我們?yōu)椴煌姆?wù)器，不同的技術(shù)創(chuàng)造密碼，但他們又不想讓我們知道這些密碼，或?qū)⑵浔４婊蛴涀∵@些密碼。”該公司的系統(tǒng)工程師Eric Zehnder表示。

為了解決這個(gè)問(wèn)題，Secure-24轉(zhuǎn)向采用Thycotic的秘密服務(wù)器企業(yè)密碼管理軟件。該軟件為多家企業(yè)客戶在多個(gè)領(lǐng)域提供自動(dòng)化的密碼管理。

不存在密碼落入壞人手中的風(fēng)險(xiǎn)。“用戶甚至都不知道密碼。”Thycotic的企業(yè)信息安全架構(gòu)師凱文瓊斯表示。

3、智能手機(jī)應(yīng)用程序的雙因素認(rèn)證

當(dāng)然，用戶在一定程度上也必須進(jìn)行自身系統(tǒng)的驗(yàn)證。而消除登錄總數(shù)意味著第一次登錄就顯得更為重要。

Secure-24采用雙因素認(rèn)證的方法以確保安全識(shí)別用戶，同時(shí)，該公司正在努力以使得這個(gè)過(guò)程更簡(jiǎn)單。

在過(guò)去，第二因素是典型的密鑰：RSA安全I(xiàn)D或Vasco Digipass，取決于客戶的偏好。這對(duì)于那些將密鑰保管在密鑰鏈的企業(yè)非常奏效。

“如果沒(méi)有密鑰，他們將如何工作?” Secure-24的Zehnder說(shuō)。但是有些員工將其拴在他們的工牌吊帶上，更容易被忘在家里。

另外，遠(yuǎn)程辦公者可能在工作時(shí)沒(méi)有將密鑰隨身帶著。“我通常會(huì)隨身帶著我的手機(jī)，但我不會(huì)隨身帶著密鑰。” Zehnder說(shuō)。

現(xiàn)在，該公司正在逐漸放棄密鑰的方法，而采用基于iPhone和Android設(shè)備的應(yīng)用程序。“我注意到仍然有更多的數(shù)字密碼，這些軟件應(yīng)用程序通常有一串長(zhǎng)達(dá)八位數(shù)的PIN碼，而在之前也只有六位字符的密碼。”他補(bǔ)充道。

基于手機(jī)的系統(tǒng)的成本是相當(dāng)便宜的，他說(shuō)。Secure-24過(guò)去需要購(gòu)買大型機(jī)架，每臺(tái)機(jī)架的大約100美元。Zehnder說(shuō)。“所以，曾經(jīng)有一 家采用我們技術(shù)的客戶每次當(dāng)他們的員工丟失了密鑰，就會(huì)很生氣，因?yàn)檫@需要花費(fèi)昂貴資金來(lái)更換。但手機(jī)應(yīng)用程序軟件則是免費(fèi)的，所以其管理成本會(huì)比較便宜 一點(diǎn)。”

另外，如果手機(jī)丟失，遠(yuǎn)程禁用應(yīng)用程序是很容易的，他補(bǔ)充說(shuō)。而且，現(xiàn)在對(duì)于那些智能手機(jī)的粉絲來(lái)說(shuō)有更多的好消息。隨著iOS系統(tǒng)在2014年9月進(jìn)行的更新，蘋(píng)果現(xiàn)在已為第三方開(kāi)發(fā)者開(kāi)放其Touch ID指紋識(shí)別功能了。

“當(dāng)我開(kāi)始看到密碼應(yīng)用程序使用您的指紋來(lái)生成一個(gè)隨機(jī)密碼或隨機(jī)代碼時(shí)，我不會(huì)感到驚訝。”查爾斯說(shuō)tendell，安全咨詢公司Azorian Cyber Security的創(chuàng)始人Charles Tendell表示。“隨著其變得越來(lái)越簡(jiǎn)單，我們將看到其更為廣泛的采用。”

這一領(lǐng)域的安全技術(shù)發(fā)展得很快，安全咨詢公司EmeSec的創(chuàng)始人Maria Horton說(shuō)。Horton曾擔(dān)任國(guó)家海軍醫(yī)療中心的首席信息官，現(xiàn)在與一些聯(lián)邦機(jī)構(gòu)的客戶合作。

當(dāng)談到這項(xiàng)技術(shù)的發(fā)展時(shí)，金融機(jī)構(gòu)的企業(yè)會(huì)受到重要影響，而政府部門也將成為其中重要的參與者。

兩年前，聯(lián)邦政府層面的主要問(wèn)題集中在知識(shí)共享方面，她說(shuō)。“但由于身份的訪問(wèn)控制，知識(shí)分享是非常困難的。”她說(shuō)。因此，今年春天，他們發(fā)起了一項(xiàng)新的身份認(rèn)證與管理倡議。

“這還處在期望階段。”她說(shuō)，但是聯(lián)邦政府已經(jīng)認(rèn)識(shí)到這一個(gè)問(wèn)題，并已開(kāi)始探索潛在的戰(zhàn)略了。

4、從特權(quán)用戶開(kāi)始

將整個(gè)企業(yè)都轉(zhuǎn)換到一個(gè)新的密碼管理和認(rèn)證系統(tǒng)可以是非常困難的，尤其是如果要用戶改變他們的行為。弗吉尼亞州的安全供應(yīng)商Xceedium公司首席 戰(zhàn)略官Ken Ammon建議企業(yè)從他們的特權(quán)用戶開(kāi)始。這是一個(gè)小的群體，而針對(duì)這一群體提高安全性將帶來(lái)最大的投資回報(bào)。

例如，一些公司采用基于角色的訪問(wèn)管理模式，或讓多人共享同一個(gè)管理員帳戶，或允許根用戶權(quán)限設(shè)置。“因此沒(méi)有辦法明確誰(shuí)執(zhí)行了什么操作。”他說(shuō)。

如果一個(gè)黑客進(jìn)入了公司的系統(tǒng)，并獲得了這些證書(shū)，他們就可以做大量的破壞。

事實(shí)上，這正是今年許多企業(yè)所遭遇的頂級(jí)安全漏洞，包括今年早些時(shí)候易趣網(wǎng)所遭遇的黑客攻擊致使大約1.45億用戶記錄被泄露。

網(wǎng)絡(luò)攻擊者竊取了一小部分?jǐn)?shù)量的員工登錄憑據(jù)，允許未經(jīng)授權(quán)訪問(wèn)易趣網(wǎng)的客戶數(shù)據(jù)庫(kù)，易趣網(wǎng)在一份聲明中稱。

5、用密碼口令代替密碼

另一個(gè)比較簡(jiǎn)單的方式是不再采用標(biāo)準(zhǔn)的密碼形式：即由符號(hào)，數(shù)字，大寫(xiě)字母所組成的八個(gè)字符的密碼形式，而讓用戶有一段長(zhǎng)但容易記憶的密碼口令。

“基于我們?cè)谶^(guò)去的幾年里針對(duì)用戶所進(jìn)行的一系列訓(xùn)練，好的密碼是那些他們不記得的。” SANS的網(wǎng)絡(luò)防御課程團(tuán)隊(duì)成員Keith Palmgren說(shuō)。“更長(zhǎng)的密碼，可以讓您輕松地記?。褐T如‘i went fishing last saturday night(我上周六晚上去釣魚(yú)了)’就是一個(gè)很好的密碼，即使全部小寫(xiě)。這樣的短語(yǔ)口令不會(huì)出現(xiàn)在任何黑客辭典中。如果一家公司想要在這方面進(jìn)行改進(jìn)， 但不負(fù)擔(dān)不起遷移到雙因素認(rèn)證的基于令牌或生物認(rèn)證的系統(tǒng)，他們應(yīng)該仔細(xì)考慮更改密碼管理政策，開(kāi)始改變更現(xiàn)實(shí)一點(diǎn)。”

企業(yè)可以做的另一件事是為他們的員工提供個(gè)人密碼管理工具，使他們不會(huì)在工作中使用與個(gè)人網(wǎng)站相同的密碼。

Palmgren使用LastPass。“我有一個(gè)網(wǎng)上銀行的密碼有30個(gè)字符長(zhǎng)，”他說(shuō)。“這是高度復(fù)雜的，我不需要記住它，因?yàn)長(zhǎng)astPass可以幫助我記住。”

一些公司已經(jīng)開(kāi)始使用企業(yè)版本的LastPass，他說(shuō)。LastPass是一款基于云計(jì)算的服務(wù)，配合本地臺(tái)式機(jī)或智能手機(jī)安裝應(yīng)用程序，處理加密問(wèn)題。

“唯一儲(chǔ)存在我們的服務(wù)器上的是加密的點(diǎn)，我們沒(méi)有密鑰。” LastPass的發(fā)言人Cid Ferrara說(shuō)。

目前已經(jīng)有超過(guò)5500家企業(yè)使用LastPass了，她說(shuō)，從中小型企業(yè)到財(cái)富500強(qiáng)。工作和個(gè)人密碼是嚴(yán)格分開(kāi)的，但卻有聯(lián)系的，這樣用戶就不需要在他們的個(gè)人賬戶和工作LastPass帳戶之間進(jìn)行切換。

公司可以采用一系列雙因素認(rèn)證技術(shù)和基于SAML的單點(diǎn)登錄系統(tǒng)的組合來(lái)使用平臺(tái)。

其允許企業(yè)管理團(tuán)隊(duì)成員，例如，誰(shuí)訪問(wèn)了共享帳戶。這些口令共享文件夾是消費(fèi)者版本和企業(yè)服務(wù)版本之間的主要差異。

“您企業(yè)可能會(huì)有一個(gè)五人的營(yíng)銷團(tuán)隊(duì)，他們都需要分享該認(rèn)證證書(shū)，”她說(shuō)。“共享文件夾就可以安全地保證他們的訪問(wèn)，而不會(huì)丟失任何可跟蹤性信息。”