應(yīng)采取怎樣的策略來阻止操作系統(tǒng)密碼的破解呢？答案集中在安全領(lǐng)域的三個方面：流程、員工和技術(shù)。

保護(hù)系統(tǒng)密碼的策略包括：

對于流程來說（例如政策和進(jìn)程）：

改變每個新的和現(xiàn)有系統(tǒng)中的所有默認(rèn)密碼。

不要讓特權(quán)用戶賬戶在不同的系統(tǒng)中使用相同的密碼。

經(jīng)常改變密碼（大多數(shù)的組織會在存有敏感數(shù)據(jù)的系統(tǒng)上設(shè)置為每三十天改變一次密碼，而發(fā)生人事變動的時候也會改變密碼）。

嚴(yán)格限定管理訪問的權(quán)限，只將權(quán)限授予那些真正需要訪問的人。

千萬不要將系統(tǒng)的密碼寫下來（任何密碼都如此）。

不要讓軟件腳本包含系統(tǒng)級別的賬戶或密碼信息。

對于員工來說：

為開發(fā)人員創(chuàng)建各自的密碼，按照機能給他們分配權(quán)限（開發(fā)數(shù)據(jù)庫的員工不需要用于定義內(nèi)容領(lǐng)域的根權(quán)限——即使他們會對這一限定產(chǎn)生爭執(zhí)）。

根據(jù)員工的工作情況維護(hù)用戶權(quán)限。（當(dāng)某員工加入了某一特定的項目團(tuán)隊，你需要基于其角色來創(chuàng)建新的賬戶。當(dāng)他或她的工作發(fā)生變更，這些權(quán)限將不再需要用到時你需要改變或清除之前為其設(shè)置的權(quán)限。而如果他或她辭職了，你還需要及時清除所有的權(quán)限。）

對于技術(shù)來說：

在允許的情況下，將嘗試登錄認(rèn)證失敗的次數(shù)設(shè)置為一個特定的值，當(dāng)超過規(guī)定的次數(shù)時將自動關(guān)閉該賬戶。

如果系統(tǒng)中包含高度敏感的信息并且需要最少的系統(tǒng)訪問量，你可以考慮在系統(tǒng)級別的密碼中使用多因素或基于硬件的令牌，并在加密和密匙下保護(hù)好他們。注意：一些公司需要對所有訪問敏感信息的員工設(shè)置多因素認(rèn)證機制。

使用生成的密碼或短語（例如“Philadelphia Phillies是社團(tuán)中最好的棒球隊”）并且不要局限于字母數(shù)字符號。盡可能使用標(biāo)志來代替用數(shù)字組成的八位字符型密碼。

關(guān)閉或斷開任何試圖訪問系統(tǒng)的后門，除非有特殊需要（例如調(diào)制解調(diào)器、Citrix訪問等等）。

將敏感系統(tǒng)置于核心業(yè)務(wù)和通信領(lǐng)域之外，并提供物理隔離（給櫥柜、機房、辦公司上鎖等）。

在系統(tǒng)恢復(fù)時讓所有的備份媒介受到保護(hù)并生效。（作為系統(tǒng)恢復(fù)的一部分，舊的賬戶會被復(fù)原，所以需要確保舊的數(shù)據(jù)中沒有包含舊的認(rèn)證信息。如果真的出現(xiàn)舊的認(rèn)證信息，你需要對其做及時地更改或刪除操作。）

結(jié)合應(yīng)有的常識和安全團(tuán)隊的指導(dǎo)連同IT部門的協(xié)作，將有助于你找到最佳的方式來保護(hù)你的系統(tǒng)密碼安全。

admin

收藏 海報分享