如何保护秘密：密码入门

世界上有两种公司：一种是被犯罪分子破坏的公司，另一种是已经被破坏但还不知道的公司。

犯罪分子是无情的。

当今的网络攻击已演变成由强大的犯罪组织或民族国家实施的高级间谍活动。在软件即服务（SaaS）时代，企业数据更有可能存储在云端而不是本地。使用复杂的云扫描软件，犯罪分子可以在企业系统上线后几秒钟内入侵该系统。数据泄露的成本可能是巨大的。

作为抵御黑客的重要第一道防线，密码自互联网诞生以来就一直在使用，我相信在我退休后很长一段时间内密码仍将继续使用。

然而，大多数与公司相关的密码都无法满足最低安全要求，而且缺乏多因素身份验证工具或企业控制的公司数量惊人。

我确定的一件事是：企业系统将被黑客攻击。密码泄露事件呈上升趋势，绝大多数企业泄露事件可归因于密码安全性差。那么，企业如何保护自己？

强大的密码卫生与企业密码管理器相结合，并由公司政策和多因素身份验证支持，将降低风险。在云时代，零信任安全必须始终围绕每个连接、每个设备、每个用户。

提高密码安全性，减少用户摩擦

为什么弱密码如此普遍？随着在线账户的增加，密码疲劳现象日益严重。为了让生活更轻松，许多人在多个帐户中重复使用相同的、易于记住的密码。这些弱密码很容易被破解，从而产生安全漏洞，使网络犯罪分子能够访问公司、员工和客户数据。

无论密码是通过网络钓鱼、恶意软件还是暴力攻击窃取的，犯罪分子都可以访问有价值的公司和/或个人信息。这些被盗信息可以在暗网市场上出售，并可用于实施与原始违规行为相关的多次持续攻击。

密码管理器可以通过自动密码重置和防止不必要的活动目录锁定来防止问题出现，从而减少用户摩擦和生产力损失。当跨系统集成甚至可以在员工业务资产外部访问时，它可以驱动真正的业务价值。然而，只有一小部分公司购买企业密码管理器，因为成本是一个因素。

我认为，密码管理器的投资成本必须与与违规相关的损失和相关的用户生产力进行权衡。例如，如果用户被锁定在计算机之外，并且没有公司电话来执行双因素身份验证 (2FA)，那么当他们致电服务台并等待解锁时，工作效率会立即下降。

从良好的密码卫生开始

良好的密码提供了一种简单的方法来防范绝大多数网络威胁。让我们看看密码习惯，这些习惯可以最大限度地减少密码漏洞的影响并帮助提高组织的安全性。

使用 12-16 个字符的字符串，其中包含数字、特殊字符、大小写字母、符号和非词典单词。暴力破解这样的密码需要几年的时间。
不重复政策是最好的。52% 的互联网用户承认他们在多个帐户中使用相同的密码。一次违规行为可能会危及您的企业安全。
经常更改密码，尤其是在攻击成功之后。并且不要与任何人分享或将其写在便利贴上。
具有双因素 (2FA) 或多因素 (MFA) 身份验证的层保护，非常适合与专用的身份验证器应用程序配合使用，该应用程序可以生成唯一且经常更改的代码。生物识别身份验证（指纹、视网膜扫描、语音签名）可以作为 MFA 的一部分增加安全性，但它并非万无一失。安全密码始终是生物识别身份验证的重要组成部分。

使用企业密码管理器的9个理由

频繁循环身份验证秘密是防止泄露的最佳防御措施之一。信誉良好的密码管理器（例如 1 Password for enterprise）会为每个账户生成唯一的凭据，并将其安全地存储在保管库中，个人、员工或团队可以使用主密码访问它们。以下是密码管理器具有良好商业意义的九个原因。

缓解密码过载：基于云的密码管理器提供了跨任何设备访问密码的便利。
不再有弱密码：密码管理器可以轻松生成黑客需要数年时间才能破解的长而复杂的密码。
监控密码更改：密码管理器通过监控密码更改频率以及密码是否符合公司策略来帮助支持公司安全策略。
更难破解：密码管理器使犯罪分子更难窃取身份，因为自动生成的密码与用户的身份无关，也不包含个人详细信息。
提高运营效率：您的 IT 帮助台花费数小时来解决员工密码重置请求，这是对业务资源的浪费。密码管理器可以消除这些问题并提高 IT 和最终用户的工作效率。
防止网络钓鱼和身份盗窃：如果用户错误地点击了网络钓鱼表单，密码管理器将不会自动填写网络钓鱼表单。它不仅可以识别虚假域名，还可以向安全团队发出该事件的警报。
遏制数据泄露：通过为每个应用程序生成唯一的密码，密码管理器可以消除单个帐户遭到泄露时的数据泄露多米诺骨牌效应。
内置双因素身份验证：大多数企业密码管理器会在允许用户访问公司门户或应用程序之前为用户强制执行 2FA 或 MFA。
比浏览器密码管理更好的安全性：用户通常允许将密码保存在浏览器内存中，以便在登录时自动填充。这对您的企业来说并不安全。如果设备遭到破坏，密码可能会被盗。使用密码管理器，用户必须拥有主密码才能解锁保管库。