一、背景介紹
網絡攻擊者不會因為企業規模小就不去攻擊,相反中小企業由于安全防護能力普遍不強,常常受到黑客的攻擊。據調查,超過一半的中小企業在過去的12個月内遭到過網絡攻擊,而47%的網絡攻擊是由于密碼洩露引起的。
密碼,尤其是普遍被企業使用ActiveDirectory(AD)密碼,更是網絡攻擊者的主要目标。一旦黑客破壞了企業的Active Directory,他們就可以改變安全政策、提升權限,甚至執行勒索軟體攻擊。是以,密碼作為企業的第一道安全防線,必須要確定安全。
本篇文章詳細闡述了企業在加強密碼管理方面面臨的挑戰,并分享了克服這些挑戰的解決方案。
密碼安全威脅
二、企業經常會面臨的密碼管理挑戰
1、對于中小企業來說,處理與密碼重置相關的幫助台工單成本更高。與大型企業相比,中小企業的IT團隊通常較小,這意味着每個密碼重置工單可能需要花費更長時間。在中小企業中,處理密碼重置工單的人通常是那些需要確定企業關鍵業務運作穩定的核心IT人員。密碼重置的工作極大地占用了IT人員處理其他關鍵業務的時間。是以中小企業更希望充分利用有限的資源,而不是讓這些核心的IT管理者的大部分時間都被重置密碼、解鎖賬戶等工單占據。
2、中小企業經常是密碼重用的重災區
Devolutions最近的一項研究顯示,47%的中小企業員工存在持續使用密碼問題。威瑞森2020年資料洩露調查報告中發現,超過52%的小型企業發生過密碼被盜引起的資料洩露事,這絕非偶然。
員工之是以重複使用密碼是因為他們發現要記住日常使用的多種裝置和應用程式的密碼很費力。密碼重複使用的問題應該得到重視,因為當重複使用的密碼被盜時,與之相關的所有賬戶也會受到破壞。
資料洩露
3、重複使用密碼的危害有多大?
這裡有一個案例:2016年,一個被多次重複使用的密碼被黑客盜取緻使超過6000萬使用者憑據被盜。無需多言,要求每個賬戶或伺服器的密碼具有唯一性是解決此問題的方案。但具有諷刺意味的是,這一解決方案本身将我們引向中小企業面臨的下一個令人頭疼的問題。
三、密碼疲勞現象
根據Forrester Research的調研結果顯示,完成一次密碼重置工單的平均人工成本為70美元。盡管這會因組織規模和員工工資的不同而有所不同,但這對于中小企業來說确實不是個小數目。
最近的一項調查顯示,員工超過250人的中小企業常常會使用近100種應用程式,員工少于50人的中小企業經常會使用25-50種不同的應用程式。
當員工被要求記住大量應用程式的“強”密碼時,他們通常會采取更簡單但不安全的方法來存儲密碼,比如随機的紙條或電子表格。在接受采訪的IT人員當中,超過40%的人表示,他們通常使用便箋來管理密碼。
“密碼疲勞”造成了這樣一個惡性循環:員工為記住數百個通路資源的密碼而焦頭爛額,是以,他們一般會選擇建立易于記憶的密碼,并将其記錄在易于記憶的地方,如一張紙上,或是電子表格裡。還有些懶惰的員工會習慣建立簡單的密碼并經常重複使用它們。這些弱密碼和重複使用的密碼的賬戶是攻擊者的首選攻擊目标。
密碼疲勞現象
四、密碼合規的挑戰
在最近的一項調查中,34%的中小企業表示,他們依靠“強”密碼來保護他們的資料。這表明他們對強密碼的重要性有了相當的認識。然而,54%的中小企業報告稱,企業對員工的密碼使用情況缺乏了解。近50%的企業承認他們沒有管理者工使用安全的密碼政策,很明顯這些中小企業很難理他們組織中的密碼。
除了使用弱密碼或重複使用的密碼,員工還有可能與同僚或公司以外的人員共享密碼,這都将會為内部攻擊埋下伏筆。很多攻擊是通過盜取特權的賬号進行的,是以内部攻擊很難得到及時發現并解決。
密碼合規
五、AD Self Service Plus 是如何幫助企業克服這些挑戰的呢?
ManageEngine ADSelfService Plus是一款高效的自助密碼管理和單點登入(SSO)解決方案。
借助ADSelfService Plus,您可以:
1.讓員工實作自助密碼重置和帳戶解鎖。
2.限制員工密碼重置時重複使用舊密碼。
3.強制啟用安全的密碼政策。
4.為您的應用程式設定單點登入。
5.啟用安全的多因素身份驗證(MFA)技術。
六、為您的員工啟用自助密碼重置和賬戶解鎖
借助AD Self Service Plus,IT管理者可以讓普通員工沒有IT管理者幫助的情況下随時随地重置其AD和雲帳戶密碼。使用者可以從工作站登入螢幕、移動裝置和網絡浏覽器執行密碼重置和帳戶解鎖。此外,該解決方案會自動更新通過虛拟專用網絡(VPN)或使用遠端桌面協定(RDP)連接配接工作的遠端使用者機器中的緩存憑據,進而實作密碼重置。此外,IT管理者還可以通過AD Self Service Plus的政策配置功能決定哪些員工可以使用哪些功能,以減少安全風險。
密碼重置和賬戶解鎖
七、限制使用者在密碼重置期間重複使用舊密碼
借助ADSelfServicePlus 的密碼曆史檢查功能,IT管理者可以確定使用者不能重複使用他們過去24個AD密碼中的任何一個。
ADSelfServicePlus
八、強制實施強大的自定義密碼政策
讓使用者遵循更加安全的密碼政策通常是困難的,比如設定長而複雜的密碼、禁用常見的字典單詞密碼,以及避免使用已經洩露的密碼,這些都是AD Self Service Plus将提供幫助的地方。
借助AD Self Service Plus的密碼政策強化器,IT管理者可以確定在設定密碼時遵循以下一條或多條規則:
1.滿足最小長度
2.包括大寫和小寫字母
3.包括特殊字元
4.包括數字
5.要求密碼以字母、數字或特殊字元開頭
6.禁止易破解的字典單詞或組合
7.建立一個自定義的弱密碼清單,設定新密碼時将根據該清單進行檢查
密碼政策
九、為您的應用程式設定單點登入
通過單點登入,IT管理者可以讓使用者一鍵管理對所有應用程式的通路。AD Self Service Plus在一個儀表闆中向使用者顯示他們可以通路的所有應用程式。此外,IT管理者可以通過建立基于AD組織機關群組的政策來決定誰有權通路哪些應用程式。
單點登入
十、為工作站、應用程式和自助服務功能啟用多重身份驗證(MFA)
密碼是用于驗證身份的最常見的身份驗證因素,也是最容易受到攻擊的,因為使用者普遍傾向于設定易于記憶的密碼,并且可能對其他裝置和服務使用相同的弱密碼。MFA提供了額外的安全保護層,因為它會利用外部的驗證方式,如智能手機,指紋或其他驗證方式。使用MFA,即使密碼被洩露,攻擊者也無法完成盜竊,因為他們無法完成其他身份驗證方式。AD Self Service Plus支援超過15種身份驗證技術,包括YubiKey身份驗證、生物識别和RSA SecurID。借助AD Self Service Plus的多重身份認證(MFA)功能,IT管理者可以保護企業對業務應用的安全通路,并確定使用者隻有在身份得到驗證後才能使用自助密碼重置或帳戶解鎖功能。
多重身份驗證
十一、關于 AD Self Service Plus
AD Self Service Plus 是一款基于web的自助密碼管理和單點登入解決方案。它提供密碼自助服務、多重身份驗證(MFA)、密碼到期提醒、員工自助資訊更新、多平台密碼同步,和應用程式單點登入功能。AD Self Service Plus 還同時提供Android和iOS移動應用,友善終端使用者随時随地自助服務。AD Self Service Plus通過減少密碼重置工單來解放IT管理者的負擔,并使最終使用者免于因無法登入計算機而影響工作。