Centrify最近的一项调查显示,受访的1000名IT决策者中,74%的入侵事件涉及特权账户访问。而今年RSAC2020的现场调查数据显示:
>> 接近四分之一的受访者(23%)使用相同的工作和个人账户密码,违反了行业最佳实践
>> 超过五分之一的受访者(21%)仍将密码存储在手机、计算机或打印文档中,同样违反了行业最佳实践
注意,以上调查是针对安全行业人士进行,普通企业员工的密码违规情况要比上面的数据严重得多!
近几个月以来,远程办公已经成为常态。在这种背景下,一些企业安全的脆弱性问题被放大,数据泄露事件层出不穷。有人描述说远程办公下“身份与访问管理”是数据安全的“重灾区”,其中,“弱密码”则无疑是“震中”。很多业内人士表示密码安全加固措施是这段时间以来最重要的安全工作之一。
根据Verizon的《数据违规调查报告》,有81%与黑客相关的违规行为都利用了被盗密码或弱密码,只需一名员工的弱密码就可以撬开重兵把守、重金打造的企业网络安全防御体系。事实上,虽然零信任、多因素认证是当下的企业网络安全的热点话题,但是冥顽不化的弱密码问题,依然是企业网络安全最大的软肋之一。
弱密码黑洞
在如今的信息化大浪潮下,普通个人消费者都至少使用20个以上的账户。二十个不同的账户,需要二十个密码,延伸出一系列的安全问题和安全隐患,甚至包括安全专家在内,都会犯下在
不同账户中重复使用密码的低级错误
。密码安全性已经成为在线账户安全的主要问题,导致数据泄露、账户接管、欺诈性金融交易、敏感数据泄漏、个人数据滥用等。
弱密码问题已经足够浅显直白,但是我们有解决方案吗?
对于弱密问题,很多企业采取强制频繁更改密码并使用单点登录(SSO),以及将特权凭证存储