一、背景介绍
网络攻击者不会因为企业规模小就不去攻击,相反中小企业由于安全防护能力普遍不强,常常受到黑客的攻击。据调查,超过一半的中小企业在过去的12个月内遭到过网络攻击,而47%的网络攻击是由于密码泄露引起的。
密码,尤其是普遍被企业使用ActiveDirectory(AD)密码,更是网络攻击者的主要目标。一旦黑客破坏了企业的Active Directory,他们就可以改变安全策略、提升权限,甚至执行勒索软件攻击。所以,密码作为企业的第一道安全防线,必须要确保安全。
本篇文章详细阐述了企业在加强密码管理方面面临的挑战,并分享了克服这些挑战的解决方案。
密码安全威胁
二、企业经常会面临的密码管理挑战
1、对于中小企业来说,处理与密码重置相关的帮助台工单成本更高。与大型企业相比,中小企业的IT团队通常较小,这意味着每个密码重置工单可能需要花费更长时间。在中小企业中,处理密码重置工单的人通常是那些需要确保企业关键业务运行稳定的核心IT人员。密码重置的工作极大地占用了IT人员处理其他关键业务的时间。所以中小企业更希望充分利用有限的资源,而不是让这些核心的IT管理员的大部分时间都被重置密码、解锁账户等工单占据。
2、中小企业经常是密码重用的重灾区
Devolutions最近的一项研究显示,47%的中小企业员工存在持续使用密码问题。威瑞森2020年数据泄露调查报告中发现,超过52%的小型企业发生过密码被盗引起的数据泄露事,这绝非偶然。
员工之所以重复使用密码是因为他们发现要记住日常使用的多种设备和应用程序的密码很费力。密码重复使用的问题应该得到重视,因为当重复使用的密码被盗时,与之相关的所有账户也会受到破坏。
数据泄露
3、重复使用密码的危害有多大?
这里有一个案例:2016年,一个被多次重复使用的密码被黑客盗取致使超过6000万用户凭据被盗。无需多言,要求每个账户或服务器的密码具有唯一性是解决此问题的方案。但具有讽刺意味的是,这一解决方案本身将我们引向中小企业面临的下一个令人头疼的问题。
三、密码疲劳现象
根据Forrester Research的调研结果显示,完成一次密码重置工单的平均人工成本为70美元。尽管这会因组织规模和员工工资的不同而有所不同,但这对于中小企业来说确实不是个小数目。
最近的一项调查显示,员工超过250人的中小企业常常会使用近100种应用程序,员工少于50人的中小企业经常会使用25-50种不同的应用程序。
当员工被要求记住大量应用程序的“强”密码时,他们通常会采取更简单但不安全的方法来存储密码,比如随机的纸条或电子表格。在接受采访的IT人员当中,超过40%的人表示,他们通常使用便笺来管理密码。
“密码疲劳”造成了这样一个恶性循环:员工为记住数百个访问资源的密码而焦头烂额,因此,他们一般会选择创建易于记忆的密码,并将其记录在易于记忆的地方,如一张纸上,或是电子表格里。还有些懒惰的员工会习惯创建简单的密码并经常重复使用它们。这些弱密码和重复使用的密码的账户是攻击者的首选攻击目标。
密码疲劳现象
四、密码合规的挑战
在最近的一项调查中,34%的中小企业表示,他们依靠“强”密码来保护他们的数据。这表明他们对强密码的重要性有了相当的认识。然而,54%的中小企业报告称,企业对员工的密码使用情况缺乏了解。近50%的企业承认他们没有管理员工使用安全的密码策略,很明显这些中小企业很难理他们组织中的密码。
除了使用弱密码或重复使用的密码,员工还有可能与同事或公司以外的人员共享密码,这都将会为内部攻击埋下伏笔。很多攻击是通过盗取特权的账号进行的,所以内部攻击很难得到及时发现并解决。
密码合规
五、AD Self Service Plus 是如何帮助企业克服这些挑战的呢?
ManageEngine ADSelfService Plus是一款高效的自助密码管理和单点登录(SSO)解决方案。
借助ADSelfService Plus,您可以:
1.让员工实现自助密码重置和帐户解锁。
2.限制员工密码重置时重复使用旧密码。
3.强制启用安全的密码策略。
4.为您的应用程序设置单点登录。
5.启用安全的多因素身份验证(MFA)技术。
六、为您的员工启用自助密码重置和账户解锁
借助AD Self Service Plus,IT管理员可以让普通员工没有IT管理员帮助的情况下随时随地重置其AD和云帐户密码。用户可以从工作站登录屏幕、移动设备和网络浏览器执行密码重置和帐户解锁。此外,该解决方案会自动更新通过虚拟专用网络(VPN)或使用远程桌面协议(RDP)连接工作的远程用户机器中的缓存凭据,从而实现密码重置。此外,IT管理员还可以通过AD Self Service Plus的策略配置功能决定哪些员工可以使用哪些功能,以减少安全风险。
密码重置和账户解锁
七、限制用户在密码重置期间重复使用旧密码
借助ADSelfServicePlus 的密码历史检查功能,IT管理员可以确保用户不能重复使用他们过去24个AD密码中的任何一个。
ADSelfServicePlus
八、强制实施强大的自定义密码策略
让用户遵循更加安全的密码策略通常是困难的,比如设置长而复杂的密码、禁用常见的字典单词密码,以及避免使用已经泄露的密码,这些都是AD Self Service Plus将提供帮助的地方。
借助AD Self Service Plus的密码策略强化器,IT管理员可以确保在设置密码时遵循以下一条或多条规则:
1.满足最小长度
2.包括大写和小写字母
3.包括特殊字符
4.包括数字
5.要求密码以字母、数字或特殊字符开头
6.禁止易破解的字典单词或组合
7.创建一个自定义的弱密码列表,设置新密码时将根据该列表进行检查
密码策略
九、为您的应用程序设置单点登录
通过单点登录,IT管理员可以让用户一键管理对所有应用程序的访问。AD Self Service Plus在一个仪表板中向用户显示他们可以访问的所有应用程序。此外,IT管理员可以通过创建基于AD组织单位和组的策略来决定谁有权访问哪些应用程序。
单点登录
十、为工作站、应用程序和自助服务功能启用多重身份验证(MFA)
密码是用于验证身份的最常见的身份验证因素,也是最容易受到攻击的,因为用户普遍倾向于设置易于记忆的密码,并且可能对其他设备和服务使用相同的弱密码。MFA提供了额外的安全保护层,因为它会利用外部的验证方式,如智能手机,指纹或其他验证方式。使用MFA,即使密码被泄露,攻击者也无法完成盗窃,因为他们无法完成其他身份验证方式。AD Self Service Plus支持超过15种身份验证技术,包括YubiKey身份验证、生物识别和RSA SecurID。借助AD Self Service Plus的多重身份认证(MFA)功能,IT管理员可以保护企业对业务应用的安全访问,并确保用户只有在身份得到验证后才能使用自助密码重置或帐户解锁功能。
多重身份验证
十一、关于 AD Self Service Plus
AD Self Service Plus 是一款基于web的自助密码管理和单点登录解决方案。它提供密码自助服务、多重身份验证(MFA)、密码到期提醒、员工自助信息更新、多平台密码同步,和应用程序单点登录功能。AD Self Service Plus 还同时提供Android和iOS移动应用,方便终端用户随时随地自助服务。AD Self Service Plus通过减少密码重置工单来解放IT管理员的负担,并使最终用户免于因无法登录计算机而影响工作。