?
口令可以用來以多種方式保護數據、系統和網絡。例如,通過口令為操作系統和應用(如電子郵件、就業記錄、遠程訪問等)認證用戶身份。口令還可以用來保護文件和其他存儲信息,例如通過口令保護單個壓縮文件、密碼密鑰或加密的硬盤。此外,口令還經常被以不那么直觀的方式使用,例如,生物測量設備根據指紋掃描生成口令,進而用這個口令來進行認證。
?
本文就口令管理(即在全企業范圍內定義、執行和維護口令策略的過程)提出了相關建議。有效的口令管理可以降低基于口令的認證系統被人攻破的風險。機構需要保護口令的保密性、完整性和可用性,以使所有受權用戶——以及沒有得到授權的用戶——都可以在需要時成功使用口令。口令的完整性和可用性應該由常規數據安全控制提供保障,例如利用訪問控制列表防止攻擊者覆蓋口令和獲取口令文件的安全備份。確保口令的保密性則更具挑戰性,除了有關口令本身特點的決策之外,還涉及了諸多安全控制。例如,有關口令必須足夠長和足夠復雜的要求盡管可以降低攻擊者猜中或破解口令的可能性,但同時也加大了用戶記住口令的難度,使它們更可能保存不當,從而增加用戶以不安全的方式保存口令和將口令暴露給攻擊者的可能性。
?
機構應該清楚基于口令的認證機制存在什么缺陷。當今有許多威脅是專門針對口令的,其中大多數只能被部分抑制。此外,有越來越多的口令需要記住和管理,著實令用戶不堪重負。然而,企業口令管理的現行機制盡管可以在某種程度上減輕這一負擔,但每種機制在實用性方面各有重大不足,甚至有可能造成比較嚴重的安全事故——因為它們允許用一個認證憑證訪問多個系統。因此,機構應該制定長期計劃,為安全需要越來越高的資源更換或補充更強形式的基于口令認證機制。