研究称密码需强健

password-security-survey
最新一项由昆明亭长朗然科技有限公司市场调研部发起的互联网安全研究表明:四分之三的中国人并未像被期待的那样修改他们的在线帐户密码。互联网应用系统使用账户来区分使用者的身份,平均每位国民有10个受密码保护的互联网帐户,但仅有半数国民为个人电脑设置了访问密码。

中国国务院发布了“宽带中国”战略实施方案,提升带宽、降低资费的活动将一直延续下去,我们有理由相信,人们的互联网帐户会越来越多,密码安全问题将直接关乎个人电脑安全以及互联网安全。试想:终端带宽越来越宽,但如果终端安全未得以有效实施,被黑客遥控的僵尸“肉鸡”也会越来越多,黑客便很容易利用它们发起分布式拒绝服务攻击DDoS。

调查同时表明:只有三分之一的手机用户对移动设备设置了访问密码或相关“所知信息”替代品。在移动计算时代,这显然是很不够的,特别对于移动办公用户,密码是保障工作计算设备及信息安全的第一道防线,如果终端设备密码都没有,还谈什么更多的信息安全呢?

同时调查还发现了一些密码特征,不少人喜欢用工作或生活相关的信息来当作密码,使用手机号码、公司名称、孩子或配偶的名字或生日的一部分用来做密码的占了有54%,这实在是令人吃惊!密码这么脆弱,不会被黑客暴力猜解便是被社会工程学攻击者恶意搜集和利用。

而关于对密码的保护,随意张贴的并不多见,分析原因是密码比较简单易记,所以没必要张贴。但是调查发现分享密码是常事,家庭成员之间、工作同事之间的密码分享已经成为常态,似乎人们并不认为密码分享有什么不对,甚至还找出诸如“为了更好地协同工作”之类的理由。当然,分享密码必定有一些理由,但是人们未考虑可能带来的安全问题和事故责任问题,这些做法让IT管理的规范化变得异常艰难。

密码的安全问题并不仅仅是最终用户的问题,IT安全部门对这的理解也需要改变,如何能让人们理解密码安全的重要性呢?如何能让人们设置复杂、强健且容易记忆的密码呢?如何能让人们不同他人分享密码呢?这是一项系统工程,并不是简单设置帐户和密码安全策略便可轻易有效解决的。昆明亭长朗然科技有限公司认为,技术控管层面的变更很容易实现,但是要让用户真心理解和接受,最重要的是强化密码安全意识沟通工作。

昆明亭长朗然科技有限公司开发制作了数百部安全、保密与合规相关教程及动画视频,员工们通过电脑、手机、平板等随时随地进行简单的移动式学习和体验,便可了解基础的安全防范理念。欢迎联系我们预览和洽谈采购使用。

电话:0871-67122372

微信:18206751343

邮件:info@securemymind.com

QQ: 1767022898

不要分享密码

尽管在有些公司同事之间分享或共用密码是协同工作的一部分,但是这种做法应该被放弃,原因如下:

  • 您不知道您的密码是否会被再次分享给其他人;
  • 当出现账户滥用事件时,密码的所有者可能需要承担责任,或者没有人承担责任;
  • 密码的设计是用来区分系统用户的,应该保持密码绝对的私密。

安全提醒:

不要将您的密码分享给他人,如果您把密码分享给他人使用,他人可能使用您的身份进行不当的行为,您的信誉可能受到损害,还要为他人的不当行为负责。

关于密码分享的进一步探究

同事间分享密码,当然也包括一些类似密码的,进行用户身份验证的东西,如访问卡、身份验证令牌、以及工作权限,在一些工作单位、一些特定的岗位、特定的情况下是难以避免的,看上去理由似乎也比较充分——可能就某人有某些特定的账号或权限,而其他人只是暂时用一用。

这个若真要严格禁止,就如禁止亲人间分享银行密码一样,可能面临着文化和伦理方面的问题。昆明亭长朗然科技有限公司信息安全管理专员董志军表示:在欧美发达国家,不要分享密码是信息安全意识教育的基本内容之一,因为这些发达国家往往有健全的信息账号与权限管理制度,并且遵守规矩、按规章办事的文化深入人心。如果某人没有相关的系统的访问账号和权限,他/她就会去申请,申请通过得到访问权限后才会去使用,没有账号和权限的话,他/她做不成事儿也没人去责怪。

这事儿如果放到国内某些单位,领导布置一个工作只急急地要结果,而不关心实现过程是否合规,下属是否有访问权限可能搞定。这就让下属不得不变通,即使有正常的账号和权限申请流程,可能也得不到很好的执行。

看,一个关于密码分享的简单话题,竟然有这么多东西方文化的差异在其中,我们不说孰优孰劣,继续探讨有中国特色的密码分享解决之道。笔者看到有些国内大型企业制定了“灵活”的账号权限借用流程,可能会令欧美文明国家信息安全管理者看不懂的。就是在账号借用之后的密码修改,以及更多的如退出借用者的当前登录等等。借个账号和权限,竟然要这么多后续的“安全”补救工作,这想一想真让人无法理解、啼笑皆非。

欧美发达国家喜欢将“牙刷”、“内裤”之类的东西来比做密码,警示用户他们的密码不能被分享。这让国人的那些密码分享者或借用者们情何以堪啊!毕竟想想文化的差异,也就可以理解了。这是个管理和意识的问题,“普世价值”可能并不适合“中国特色”,不过我们可以借鉴一下宣传方法,当然,如果要变革,则需要从企业文化和信息安全文化多个深层次的层面入手。

不管您所在的组织允不允许“分享”密码,我都表示理解。同时我也希望本文的一些分享和探讨能引发您在信息安全密码管理方面的独立思考,而不是简单地否定或肯定。即使您可能觉得某些不好的工作流程和方法,可能也有它们的历史和存在原因。

希望我们的一些建议和倡议能帮助您。昆明亭长朗然科技有限公司致力于提升国民的网络安全认知,为整个人类社会贡献积极的力量。我们的方法是不断设计、开发及制作信息安全意识教育内容资源,包括安全培训动画视频、互动式电子课程、教学小游戏、考题及线上测试平台等等。我们有少量的安全意识培训内容资源可供客户选购。同时,我们积极理解客户的业务目标和安全需求,在此基础上开始定制化创作和交付安全意识培训内容。欢迎联系我们洽谈业务合作事宜。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898