编者按: 世界密码日于本月初举行, ISACA现在博客收集了一些与密码和认证最佳实践相关的专家评论. 请看下面我们专家组的评论:
史蒂文Sim Kok Leong, CGEIT, CISA, CRISC, CISM, CDPSE, Member, ISACA Emerging Trends Working Group and Information Security Advisory Group; Adviser, ISACA Singapore 网络安全 SIG; and Chair, OT-ISAC执行委员会
超越复杂的密码和多因素身份验证, 组织可以做得更多, 包括通过采用密码“更少”的解决方案来防止mfa疲劳攻击. 仍然需要保护的是个人凭证,包括您的生物识别数据(i.e. 面部图像、指纹等). 随着黑客对密码的攻击越来越复杂,认证方法也越来越不成熟,提高认证方法势在必行
网络架构负责人、ISACA新兴趋势工作组成员迪夫Aradhya
而网络世界正慢慢走向无密码认证, 密码不会很快消失. 我们所有人都在努力创建独特的密码,这些密码既复杂又长,足以防止黑客入侵, 而且很容易记住. 我给出的建议是考虑使用完整的句子作为密码. 资本化, spaces, 标点符号, 和长度都有机地交织在一起, 句子的自然结构使其易于记忆.
例如:“我每天吃两个青苹果!,“我的小狗叫饼干”,或者“一个星期有7天。.”
找一些适合你的句子, 如果可以的话, 在你的句子中加入一个网站标识符. 这将有助于保持“密码”的唯一性,也便于你回忆.
生命Pokharel (CA, CISA, ISO 27001首席审核员,法务审核员和欺诈检测专业人员), 加拿大温哥华露露柠檬高级技术审核员
根据我的经验, 当涉及到密码控制实践时, 我们经常采取诸如频繁更改密码之类的做法, 通常在90天内, 并强制执行复杂的规则,如强制使用特殊字符和数字来提高安全性. 然而,最近的研究揭示了这些现有做法的一些意想不到的后果.
它可以引导用户创建可预测的密码模式或跨多个帐户重用密码, 使攻击者更容易猜到密码. 这种见解已经导致像NIST这样的组织修改他们的指导方针, 建议反对频繁的强制性更改和过于复杂的需求,而赞成更长的开发周期, 记住密码,除非有证据表明有人被入侵.
另外, 集成MFA增加了额外的安全层, 即使密码泄露,攻击者也更难获得访问权限. 采用这些先进的方法并跟上不断发展的最佳实践,可以保护我们免受新出现的威胁.
Sabiha Hetavkar -德勤印度风险咨询总监
用户通常会在工作和个人账户中使用相同的密码, 或者将他们的密码存储在记事本中以便于记忆. 记住这么多密码的挫败感使得用户使用不安全的密码, 尽管意识到了风险. 采用无密码身份验证将从等式中消除密码, 用户记忆密码的疲劳. 同时采用无密码认证, 组织应该采用提供安全和无摩擦体验的解决方案. 需要记住的要点有:
- 使用本地设备生物识别技术进行身份验证,这样用户的生物识别数据就不会传输或存储在服务器上.
- 允许用户从设备进行多种身份验证选项-生物识别, PIN, 或外接USB设备.
- 默认使用无密码认证,如双因素认证.g. FIDO2.
- 在用于无密码认证的设备丢失的情况下,设计安全的恢复过程.
- 为最终用户培训和指导方针制定计划,以提高采用率,并随时更新新的攻击向量,以减轻它们.
