可靠的密码策略是企业网络的第一道防线。保护您的系统免受未经授权的用户的侵害,表面上看起来很容易,但实际上可能非常复杂。您必须在密码安全性和可用性之间取得平衡,同时还要遵守各种监管要求。
欧盟的公司必须拥有符合《通用数据保护条例》(GDPR) 的密码政策。即使您的公司不在欧盟,如果您的员工或客户居住在欧盟,或者客户在那里购买,这些要求也适用。
在这篇文章中,我们将研究 GDPR 对密码的要求,并提供有关如何设计密码策略的实用技巧。请记住,即使您现在不需要 GDPR,数据保护监管计划的基础也可以帮助加强您组织的安全性。
GDPR 合规性的密码要求
您可能会惊讶地发现 GDPR 法律实际上根本没有提及密码政策。如果您只是阅读文本,您最初可能会认为公司可以实施任何密码策略,而不必担心 GDPR 合规性。
但是,GDPR 法律将在预防的保护伞下影响密码政策。
防止未经授权访问信息
公司从客户或其他来源收集的任何信息都需要在 GDPR 合规性下得到适当保护。这意味着要有强大的安全措施来防止黑客和其他未经授权的个人访问这些数据。
众所周知,保护任何数据的最重要的数字安全步骤之一是密码。
创建符合 GDPR 的密码策略的提示
以下是创建强密码策略时需要考虑的一些最佳实践,以确保您的系统安全,并使您更接近合规性。
使用密码列表来阻止泄露的密码,一个好的密码需要难以破解或猜测。今天,被盗和暴力破解的凭据是数据泄露的主要原因。为了保护您的数据免受这些攻击,密码策略应该禁止常见的和被破坏的密码。
由于密码重用,许多基于凭据的攻击使用来自一个系统的被破坏的密码列表来针对另一个系统。NIST 和 NCSC 等政府机构建议完全禁止使用已泄露且易于猜测的密码。这是保护帐户的唯一方法之一,即使强制执行更强的密码设置。
不要使用秘密问题
设置可以回答的“秘密问题”是一种常见的做法,以解锁或重置帐户的密码。
秘密问题可能是诸如“你母亲的娘家姓是什么”或“你的学校吉祥物是什么”之类的问题。由于这些类型的问题容易受到社会工程攻击,因此最好完全避免它们。
考虑 MFA
提高密码安全性的最佳方法之一是实施多因素身份验证。这是除了用户名和密码之外,还使用其他因素来验证用户的地方。
例如,这可以是在身份验证期间专门为用户在其移动设备上生成的一次性密码。
让 GDPR 合规变得简单
为您的非欧盟企业实施 GDPR 似乎令人头疼,但从法律和网络攻击预防的角度来看,合规性和额外的安全保护将涵盖您的基础。如果您正在寻找额外的情报,本文总结了 GDPR 合规的方式、原因和时间。
当您在考虑 GDPR 合规性的情况下为 AD 实施密码策略时,最好使用第 3 方工具来帮助您的密码策略覆盖整个最终用户目录。
我最喜欢的是Specops 密码策略,它可以帮助您阻止来自 Active Directory 的泄露和其他泄露的密码。在 Active Directory 中更改密码期间,如果在泄露密码列表中找到用户选择的密码,此服务将阻止并通知用户,并提供动态反馈以确保密码合规性。Specops 密码策略可以轻松地将易受攻击的密码拒之门外并遵守最新的密码指南。
GDPR 合规性
Specops 密码策略使您的策略井井有条且易于配置,使用密码策略工具不仅有助于遵守 GDPR,防止未经授权访问信息,还可以使您的内部 AD 基础设施井然有序且安全。Specops 密码策略扩展了组策略的功能并简化了细粒度密码策略的管理,从而以更简单的方法实现密码安全性和合规性。
无论您是使用密码策略工具还是手动教育最终用户 GDPR 合规性都可以成为任何安全基础设施的资产,无论您身在何处,如果您要存储欧盟公民数据,请不要忘记这是强制性的。(欢迎转载分享)