前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >企业如何做好密码管理?

企业如何做好密码管理?

原创
作者头像
玉符IDaaS
修改2020-08-31 14:25:34
1.2K0
修改2020-08-31 14:25:34
举报
文章被收录于专栏:IDaaS 身份认证管理云平台

想象一个场景:

IT 运维小叉为公司新人小A开通了 10 多个应用系统账户,企业微信、绩效系统、CRM 系统、公司内网云盘等等,“健忘症患者“小A为了方便记忆,将各个系统密码全部设置为 “123456!”,并保存在浏览器中设置自动填充。十天后小A误点了钓鱼网站,公司系统的账户被盗,内部资料被窃取——小叉同学表示非常心累&崩溃。

不只是安全问题,更是效率“杀手”

现代企业的应用系统越来越多,如果员工在每个应用上设置不同的高强度密码,在不允许浏览器自动填充的情况下,员工可能每天都奔波在“找回密码”的路上,IT 运维同学也要花费大量时间处理密码重置请求,假设 1人*1 个应用重置一次花费 2 分钟,1000 个员工* 10 个应用,IT 部门工作效率将指数级下降

如果员工由于记忆难而像小A一样重复使用简单的密码,导致企业系统产生安全漏洞,又将是另一个死循环。在很多传统的密码管理策略中,一处密码发生泄漏,企业很难确定与其关联的员工/部门/子母公司是否有同样的隐患,最终往往是进行大范围的密码重置操作,这样就不可避免地打击其他员工的工作积极性,影响整体工作效率。

“无密码办公”成为大势

为了提升效率,近两年来很多企业开始寻求基于身份认证技术打造“无密码办公”环境。相比于传统的“以密码为中心”的解决方案,无密码身份认证将安全技术与大数据、AI等新技术的相结合,根据员工登录上下文(设备、时间等)判断当前用户是否可信,使员工可以无需输入密码,通过生物验证或无需进行验证即可登录应用门户,在确保系统安全的基础上,提升用户访问体验和工作效率,为员工创造“无密码”的办公体验。

无密码办公解决方案第一步是实现单点登录,将企业所有应用——云端的、本地部署的,标准的、企业自研的系统——集成在统一的单点登录访问门户中,这样员工记住一套门户密码便可免密快捷登入所有下游应用系统,对员工来说这是最明显的效率收益

如果员工觉得一套门户密码也容易忘,那么企业可以进一步考虑提供多种登录方式,比如流行的企业微信/钉钉扫码登录等,这需要企业根据自身需求集成其他“认证源”,将原有的钉钉/企业微信/微软AD等认证源进行集中管理,在登录页面提供“其他登录方式”选项。如下图所示,员工登录时可以灵活切换登录方式:

此外,实现个人密码自助服务也十分必要,允许员工对密码和密保问题进行自助修改,减少频繁的密码重置请求,将大大提升IT运维同学的工作效率。

到此为止,企业实现“无密码办公” 看起来并不复杂,但在落地过程中有很多细节问题会消耗大量精力,尤其是在“判断当前用户身份是否可信”上——在异常设备、异常地点、异常网络环境的访问请求,显然不能用平常的验证方式,输入一次密码就直接放行,企业必须构建一套更灵活、安全的身份认证策略。

“无论是谁,拿钥匙就能开门”显然不够安全,换“智能门锁”是一个办法——除了钥匙,还需验证指纹、人脸识别后才能开门。智能多因素认证(MFA)就是“智能门锁”,它可以提供多种二次验证方式,包括问题校验,生物校验,以及扫码、OTP (一次性密码认证)、推送通知等物理校验方式。

这些校验方式在不同场景下如何组合呢?

一方面企业可以手动设定一些规则,不同场景分别对应几种二次验证方式,比如访问地点异常(异国访问、异地登录、异常位移)、访问设备变化(异常设备登陆、基于设备的权限控制)、网络环境变化(未知IP访问、指定IP白名单范围),针对公司敏感业务系统单独设定二次认证唤起规则保证访问安全。

另一方面,智能识别员工每一次登录的安全级别,自动设置不同的策略,比如判定为高安全性场景,则允许只使用密码进行快速登录;中低安全性场景要求密码登录+智能二次验证,这种细化到员工个人的安全识别与监测也可以避免“一人泄露,全员重置”的情况,精准定位危险源,减少低效的大范围密码重置

小结

无密码办公解决方案的优越性显而易见,但落地过程中,复杂的应用系统和认证源集成、非标准协议的对接会导致企业的开发压力骤增,IT部门往常可能会寻求传统 IAM 厂商的支持,然而部署不够灵活,无法适应快速迭代的应用系统更新,或者定制化周期比较长。实际上新兴的 IDaaS(Identity as a service)平台能够提供更灵活、快捷的部署能力。

玉符IDaaS作为企业级身份认证云平台开创者,可以在短时间内帮助企业快速集成统一单点登录访问门户、集成多种认证源,并提供标准化的配置页面实现高效的界面化管理,支持企业自定义认证策略组合。在密码安全策略上也是如此——密码强度、密码轮转、生效范围、登录安全(验证方式、用户锁定规则和解锁方式)、防暴力破解等策略性设置都可以在界面上轻松管理——可谓 IT 运维同学的提效神器

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 不只是安全问题,更是效率“杀手”
  • “无密码办公”成为大势
  • 小结
相关产品与服务
物联网设备身份认证
物联网设备身份认证(IoT Trust ID,IoT TID)为客户提供多安全等级、跨平台、资源占用少的物联网设备身份认证服务。产品提供软加固、TEE和安全芯片等载体类型,通过使用国际主流加密算法和国密算法,帮助客户全面提升物联网设备接入认证与数据的安全性。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档