密码管理是在密码的整个生命周期中,通过遵循一套可持续的实践来保护和管理密码的过程。随着IT领域的扩展,密码激增,而且需要保护的密码越来越多集中密码管理例行公事变得至关重要。此外,密码是敏感信息的第一道防线,但它自然是黑客的主要目标之一,在管理不当或受到破坏时可能会招致厄运。
密码管理大致可分为个人和企业两大类。保护个人账号、个人信用卡、个人账号等的最佳安全措施是针对个人账号、个人信用卡号码等的安全管理。
企业密码管理也被称为特权密码管理是任何组织的IT安全管理的一个组成部分,它的重点是保护拥有提升访问权限的公司帐户的凭据。这通常涉及将帐户(如本地管理员帐户、域管理员帐户、根帐户、服务帐户、应用程序帐户和系统帐户)存储在一个集中、安全的存储库中,该存储库的设计具有强大的保险存储规定。
虽然各种形式的密码管理都同样重要,但由于密码保护不力,越来越多的组织成为网络攻击的牺牲品,对特权帐户密码的安全管理最近日益突出。根据2016年福雷斯特报告,“80%的安全漏洞涉及特权凭证”,因为泄露的密码是黑客获得对关键信息系统的管理权限和过滤业务敏感数据的最简单方法。碰巧的是,黑客总是在寻找静态和弱特权密码,这些密码将允许他们通过企业网络而不被发现。
网络钓鱼电子邮件是黑客窃取管理员登录凭据的最常见方法之一。这些电子邮件诈骗在黑客中非常流行,因为尽管安全专家不断发出警告。Verizon公司2018年数据泄露调查报告声称大约十分之一的员工仍然会打开钓鱼邮件并点击其中的链接。这使得黑客可以轻松地在工作站上部署密钥记录恶意软件,以捕获特定系统上使用的所有凭据。类似的方法包括登录欺骗、肩上冲浪攻击、暴力攻击和密码嗅探。
通过这些攻击,即使是一个特权帐户密码的泄露,也可以使黑客无限制地访问组织的IT基础设施,并导致不可撤销的损失。为了应对这种攻击,组织应该专注于设计一种明智的方法来存储、保护、管理和监视特权密码。
SSL和SSH密钥管理