你应该听取GCHQ的密码建议吗

GCHQ认为公司应该简化他们的密码政策,建议公司不要使用"强度计"或强迫员工每隔几个月更改一次凭证。 该密码指导 报告 说,英国普通公民有22个牢记密码在线服务,说这是超过我们大多数人都记得。以前,政府的安全机构建议人们使用更难以破解的更复杂的密码,但,GCHQ建议"简化您的方法"。

GCHQ网络安全总监Ciaran Martin在报告的引言中写道:"复杂的密码通常不会让攻击者感到沮丧,但它们会让用户的日常生活变得更加困难。""它们会造成成本,导致延迟,并可能迫使用户采用可增加风险的变通方法或非安全替代方案。"

相反,公司应该将默认密码更改为新的密码,在必要时仅使用它们来减少用户需要记住的密码数量,并考虑使用机器生成的密码而不是让人们选择自己的密码。

如果您确实让人们设置了自己的密码,请避免使用"强度计",这会告诉用户他们的凭证太弱而无法使用。"他们可能会引导用户远离最弱的密码,但往往无法解释可能导致密码弱的因素(例如使用个人信息,重复字符或常用字符串),"报告说。

该报告还建议更好地锁定管理员帐户和远程用户,保护性地监视异常行为,并且永远不要将密码存储为纯文本。

"英国公共部门的每个用户至少有一个(并且很可能是更多)与工作相关的密码,"马丁说。"通过简化组织的方法,您可以减少用户的工作量,减轻IT部门的支持负担,并消除不必要的复杂密码可以鼓励的错误安全感。"

行业反应

这些建议受到一些专家的欢迎。云安全公司Skyhigh Networks的欧洲发言人Nigel Hawthorn表示,这些提示"令人耳目一新"。

Hawthorn补充说,对强度计的禁令"似乎很聪明" - 即使它与他自己公司的研究相矛盾。

"根据传统的强度计,我们分析了12,000个云服务并发现高达80%%的密码允许"弱"密码,但是仪表可能测量错误的东西并导致我们选择难以记住的密码,但是电脑很容易猜到。"

LogRhythm国际市场副总裁兼董事总经理罗斯布鲁尔也对一些建议表示欢迎。"监控用户行为的能力,特别是特权用户的行为,比以往任何时候都更加重要,"他说。"通过适当的系统,组织能够实时检测行为模式的变化,并立即识别凭据何时受到损害。"

然而,他对GCHQ对公司的建议提出异议,要求公司每隔几个月就不再强迫员工提出新的密码。

"虽然每隔60或90天更换一次密码对每个参与者来说都是麻烦,但它通常确保凭证保持独特,"他说。

"妥协的凭据是违规行为的主要原因之一,虽然它不是万无一失的,但定期更改它们可能会阻止黑客进入他们的行列。更重要的是,企业通常需要几个月才能发现违规行为,因此GCHQ建议只有在存在妥协指标的情况下才能更改密码,这可能会让黑客长时间敞开大门。"

© 版权声明
评论 抢沙发
加载中~
每日一言
不怕万人阻挡,只怕自己投降
Not afraid of people blocking, I'm afraid their surrender