2022 年底发生的 LastPass 安全漏洞事件震惊了整个安全社区。 密码管理器通常被视为最安全和最受信任的平台,因为它们必须如此。 持有众多服务的凭据,任何客户保险库中的漏洞都可能带来灾难性后果。
没有完美的服务,密码管理器也是如此,那么您可以做些什么来进一步保护自己?
从选择强服务密码、认真保护密钥到确保使用多因素身份验证,您的组织可以采取一些措施来最大限度地减少漏洞。
LastPass 漏洞期间发生了什么?
2022 年 12 月,威胁行为者窃取了 LastPass 备份数据。 违规行为包括源代码数据和客户保险库,其中包含未加密的元数据(例如 URL)和加密数据(例如密码)。 根据有关 LastPass 使用情况的新闻稿中的数据,这一漏洞影响了至少 3000 万用户和 85,000 家企业。
当威胁行为者访问包含源代码和技术数据的基于云的存储环境时,就会发生此违规行为。 威胁行为者利用窃取的数据对付另一名 LastPass 员工,威胁行为者利用这些数据进一步访问存储卷并解密数据。
最终,这导致威胁行为者窃取了大量数据,包括加密的客户保险库。
您的组织可以做什么?
将您的敏感数据委托给云服务已经是一项需要大量研究才能找到适合您的组织的服务。 本地解决方案也并非天生就更安全。
过度劳累的 IT 管理员极有可能不小心错误配置解决方案、丢失威胁参与者的凭据或忘记更新本地解决方案。
云服务的一个优势是团队致力于应对上述所有挑战。
许多 IT 部门需要更多资源来将类似的组分配给本地密码管理解决方案。 假设您的 IT 组织将使用基于云的服务,您如何才能更好地保护您的数据?
确保使用零知识密码管理架构
选择基于云的密码管理解决方案时,该服务应该无法解密您的数据。 通常通过客户拥有而在线服务没有的加密密钥来完成,此“秘密密钥”确保即使数据丢失,威胁参与者也无法恢复。
这种加密的好坏取决于用于加密数据的密钥、数据的保护程度以及云提供商端使用的加密级别。
作为客户,您可以做的是创建一个足够复杂的随机生成的密码,该密码在任何合理的时间范围内都无法解密。
保护密钥对于确保威胁行为者无法在发生违规事件时解密您组织的数据至关重要。
保护管理帐户
当然,任何服务都需要管理权限才能配置在线服务。 管理员帐户通常可以访问所有存储的数据。
通过强密码策略保护此帐户免受网络钓鱼或暴力破解密码尝试,将阻止威胁行为者访问您公司的密码库。
管理帐户不应包括使用默认用户名或泄露的密码。 NIST 建议根据泄露的密码列表检查密码。
实施多重身份验证
与强密码相结合,执行适当的多因素身份验证将大大有助于阻止任何访问组织敏感数据的尝试。 良好的 MFA 设置应包括使用稳健的方法(例如硬件密钥)或生物识别方法(例如指纹)。
MFA 通常被视为附加组件,但具有安全意识的组织会为每个人强制执行 MFA 策略。 即使密码被盗,MFA 通常也会阻止威胁行为者,因为破坏 MFA 所花费的时间和精力得不偿失。
使用强密码策略保护对资源的访问
保护贵公司敏感数据的基础是强大的密码策略。 强大的密码策略对于在线解密密钥、管理帐户和访问在线资源的任何设备帐户至关重要。
通过确保您的组织有适当的密码政策,不会重复使用已泄露的密码,如果发生泄露,您的公司将安然无恙。
使用 Specops 密码策略保护资源
Specops Password Policy 以强大的密码策略为基础,其功能可确保您的组织安全且合规。
通过深入的密码复杂性规则和违反密码保护附加组件,您的组织可以确保您的用户遵守密码的最佳做法。
超越密码规则,Specops 密码策略与您的 Active Directory 域集成以提供设备的精细定位。 此外,您的组织可以直接从用户的桌面显示更改后的密码是否满足复杂性要求。
减轻被黑密码管理器的危险
最后,密码管理器被攻破永远都不是好事,但不一定是灾难性的。 使用常识性帐户安全做法、强密码策略和强制执行的多因素身份验证,您可以帮助保护您的组织免于成为受害者。
最好始终假设任何服务在任何时候都是可破坏的。 在发生违规情况时实施适当的安全措施,并将您的公司和客户数据面临的风险降至最低。
由 Specops Software 赞助和撰写
如若转载,请注明出处:https://www.ozabc.com/it/534777.html