弱密码为何屡禁不止?
首先,我们来明确一下弱密码的定义:弱密码,通常指容易被别人猜测到或被破解的密码。弱密码普遍具有以下特征:1.密码长度少于8个字符;2.密码是可以在字典中直接发现的单词;3.多为简单的数字组合、帐号与数字组合、键盘上的临近键或常见姓名,例如“123456”、“qwerty”、“lucy”等;4.默认密码,例如无线路由器常见的初始密码admin。如果你用的密码不具备以上特征,也别高兴太早。2019年的一项针对中英文网民密码比较的研究表明,中文网民最常用的密码是生日和手机号。因为语言的原因,中国网民还喜欢用名字的全拼做密码。姓名全拼,手机号,姓名全拼+手机号,姓名全拼+生日,这些密码你是不是看起来很眼熟? 知道了是弱密码,改掉它不就好了吗?个人用户不受控,企业员工还不好管理吗?事情远远没有这么简单。我们不妨还原一下弱密码诞生的过程,了解一下各路人马的心路历程:软件开发商:软件初始密码用我们品牌的全拼,反正客户肯定会改。员工A:又有新业务系统上线了?就和邮箱用同一个密码吧,姓名+生日,要不记不住。员工B:不改,懒……管理员C:只有我一个人登录后台,密码只有我知道,不改也没事。总而言之,员工使用弱密码的理由可以归结为“好敲、好记、懒得改”。这种心理也决定了企业防范弱密码的措施(如限制密码长度,要求密码区大小写、添加符号,强制定期改密等等)往往效果不尽如人意。因为这些措施必然使员工的操作更加繁琐,让企业的安全性和员工的便利性产生对立,员工自然不爱买账。如何消灭弱密码?
弄清了弱密码为何屡禁不止,消灭弱密码的办法也就呼之欲出:既要简化员工的操作,又要提升密码的强度。但是,这种“既要…又要…”真的可以实现吗?答案是肯定的。因为身份认证的凭据从来不止密码一种。我们每个人都是一座行走的“密码库”,每个人的“所知(我知道的你不知道)、所持(我持有的东西你没有)、所有(我的特征你没有)”,都可以作为身份认证的凭据。“所知、所有、所持”的涵盖范围极广,包括但不限于——所知:密码,PIN码,共享密钥,与自身相关的信息;所持:身份证,护照,智能手机,U盾,安全令牌等;所有:指纹、人脸,虹膜、声纹等生物特征,说话方式、走路方式、打字方式等行为识别。 当前广泛应用的密保问题(所知)、银行U盾(所持)、人脸识别(所有)、指纹识别(所有),都在安全性和便利性之间找到了平衡。企业如果能结合员工的“所知、所持、所有”进行身份认证,就有机会彻底消灭弱密码。芯盾时代IAM,为企业消灭弱密码
结合员工的“所知、所持、所有”进行身份认证,说起来容易,实现起来却并不简单,理念、技术、经验,缺一不可。芯盾时代用户身份和访问管理平台(IAM),基于零信任理念打造,采用增强型身份认证技术、连续自适应风险信任评估技术,帮助用户实现身份、认证、权限、审计的“四个统一”,实现更安全、更便捷的身份认证。1.创建唯一身份,权限、审计统一管理整合企业零散的组织用户数据,创建唯一用户身份标记,形成权威的组织用户体系,建立自动化流转的用户全生命周期管理机制,让员工使用一个账号登录多个业务应用,减少需要记录、使用的密码数量,实现“一个身份,访问全网”。统一员工身份后,运维人员能够统一设置多个应用的访问权限,统一审计多个应用的访问日志,大幅减少运维量,提升工作效率。2.统一认证管理,安全与体验双优为企业建设应用门户,统一业务应用的登录入口,并借助单点登录功能,让员工只需认证一次,就能登录所有权限内的业务应用,减少员工认证的次数,实现“一次认证,全网通行”。为企业建立移动认证App,结合员工所知、所持、所有进行多因素身份认证,提供密码、App扫码、短信验证码、动态口令、指纹识别、人脸识别等多种认证方式,让员工在进行身份认证时少输密码、甚至不输密码,兼顾企业网络安全与员工操作便利。3.自研底层技术,保障认证安全为了让身份认证更加安全,芯盾时代自主研发了移动认证技术,通过对智能手机的唯一性识别,证书的安全生成、存储、调用,以及手机安全环境的检测,将智能手机打造成移动U盾,为身份认证营造安全的终端环境。芯盾时代研发了智能终端密码模块,基于传统证书认证方式,结合分割密钥、设备指纹、白盒算法、环境清场等技术,为身份信息的安全存储提供了底层支持,保证员工身份信息更安全的传输、存储,即使员工信息被劫持、被泄露也难以被破译和篡改。有了芯盾时代用户身份和访问管理平台(IAM),企业既能提升身份认证的安全性,又能简化员工的操作体验;既能简化管理、运维工作,又能让员工心甘情愿告别弱密码。如果你的企业也为弱密码而头疼不已,赶紧把芯盾时代用户身份和访问管理平台(IAM)安排上。有了芯盾时代IAM,你的下一个密码,何必是密码~往期 · 推荐
大公司都在用的用户身份与访问管理平台(IAM),到底好在哪?
IAM中的“权限管理”丨ACL、RBAC、ABAC三大权限管理模型,到底怎么选?
IAM中的“账号委托”丨给权限不给账号,这是什么神操作?
中国日报社×芯盾时代丨以“身份安全”为基石,助力国家级媒体信息化建设
原文标题:为了帮助企业消灭“弱密码”,芯盾时代搞了点黑科技
文章出处:【微信公众号:芯盾时代】欢迎添加关注!文章转载请注明出处。
全部0条评论
快来发表一下你的评论吧 !