目录:
视频: --Í--Æ—Å--Μ--Ω—Ñ --±--Æ--∑--º--Æ—Û--Μ (十一月 2024)
作为IT专业人员,无论您是在小型企业还是大型企业中工作,监督密码完整性,访问控制和身份管理都可能会很麻烦。 无论员工使用弱密码,单击有问题的链接还是访问外部应用程序获取工作数据,由于某种原因,员工总是会面临安全风险,因为这很容易。 为了证明这一点,除了SplashData的年度最坏密码列表以外,您还可以看到仍然有多少个泄漏的登录凭据为“ password”和“ 123456”。
在纽约举行的最近一次全国网络安全联盟(NCSA)峰会上,PCMag赶上了LastPass总经理Matt Kaplan,该公司为消费者,小型企业和企业提供密码管理和安全解决方案。
LastPass最近与市场研究机构Ovum合作发布了一份有关“消除密码安全差距”的报告。 该报告对355位IT高管和550位企业员工进行了调查。 在调查结果中,有61%的IT高管完全依靠员工教育来实施强密码。 该报告还发现,十分之四的公司仍然依靠完全手动的流程来管理云应用程序的用户密码。 卡普兰说,企业面临的最大问题是当今员工的工作方式缺乏有效的安全措施。
“员工正在做他们一直以来所做的事情,即满足自己的生产力需求和便利,以更有效地完成工作。他们不是怀有恶意或恶意;他们只是在努力有效地工作,”他说。卡普兰。
“因此,员工最终要做的是找到阻力最小的路径。他们在不应该使用的时候使用公共Wi-Fi。他们使用Dropbox,Google云端硬盘以及公司未批准的其他文件同步和共享解决方案,因为这样更容易他们将其他应用程序带入组织,因为它们提高了生产力。总的来说,IT管理人员缺少的是对人为因素的关注。”
卡普兰说,企业需要在几个不同的方面解决伪劣密码管理问题。 IT部门要承担调整其期望和策略的重担。 LastPass相信,您不仅可以通过对员工的习惯进行教育,而且可以通过为他们提供诸如密码管理器(甚至激励器,例如游戏化)之类的技术来重新定义企业和员工如何看待密码,从而改变员工的习惯。
1是的,这是您的问题
IT专业人员通常无法在企业中实施更严格的密码标准的原因之一是因为人们认为它完全不受他们的控制。 卡普兰说,借口在2017年还不够好。
卡普兰说:“我们通过研究发现,几乎80%的IT高管对他们组织中的密码没有完全控制权。” “他们中的大多数人都承认缺乏控制是一个严重的风险。那为什么呢?他们中的许多人认为您无法控制自己无法管理的事情。员工密码取决于员工,并且对此没有可见性。”
2全面了解
工作应用程序和帐户远非必须进行管理以防止损害公司网络的唯一易受攻击的安全性端点。 小型企业中的IT经理在提供工具和培训以改善密码卫生和安全性做法时,需要超越员工的工作范围,并考虑更大的范围。
卡普兰说:“攻击者使用社会工程学方法进入公司帐户。因此,真正重要的是,企业应从整体上看待雇员,并同时考虑个人密码的使用和企业的使用。” “很长一段时间,IT主管都说,'我们只会处理与公司业务相关的密码。' 这不再有效。看看最近的Yahoo漏洞,他们最近发现30亿个密码被盗。这是攻击者进入企业的明确入口点。”
3教育与认证
根据Verizon的《 2017年数据泄露调查报告》,超过80%的漏洞是由弱密码,被盗用或重复使用的密码引起的。 卡普兰说,如果您的企业为员工提供有关如何在任何地方创建和安全管理密码的工具和培训,那么您可以关闭公司威胁面的很大一部分。
Kaplan说:“ IT部门需要做几件事。” “一个方法是教育员工如何在每个网站上拥有强壮,长而唯一的密码。使用密码管理器,因为您无法记住每个网站上所有的唯一密码。使用多因素身份验证来确保您是谁。你是,并监视密码的使用。”
4游戏化
LastPass使企业可以查看不同员工的密码分数。 卡普兰说,游戏化可能是企业考虑人为因素的一种方式。 游戏化是一种为用户提供胡萝卜而不是棍子的方法。
卡普兰说:“也许可以将您的密码政策进行游戏化。因此,密码分数最高的员工可能会获得积分,奖品或其他奖励。” “与采取传统上用来确保安全性的锁定'无法访问我们的网络'方法相比,这确实采取了不同的策略。由于一切都是开放的,因此无法再这样做了。我们必须假定攻击者处于在某个地方的网络,潜伏着。”
5考虑现代行为
该报告还发现76%的员工经常遇到密码使用问题。 它发现几乎70%的人说如果提供给他们,他们将使用密码管理器。 卡普兰说,企业需要承认员工今天的工作方式,并根据现代用户行为调整IT策略和密码管理。
“人们想在移动设备上工作,他们想在任何地方工作。他们希望自由地在度假屋或孩子的足球比赛中工作,IT部门必须尊重这一点。工作与家庭模糊之间的界线以及IT主管之间的界线需要考虑到这一点。”卡普兰说。 “胃口就在那里。无论您是一家拥有10名员工的初创公司,小型企业还是拥有10, 000名员工的公司,都没有什么区别;我们认为该解决方案有效地发挥了作用。”
