密码 
当涉及到密码管理器时,存在一些常见的误解,例如它们风
员工设置弱密码会带来严重的安全风险。 根据 Keeper Security 的《密码管理报告》,34%的用户会重复使用强密码的变体,这使得系统易受攻击。 重复使用强密码的员工——即使稍作修改——也可能危及敏感数据的安全。 为降低风险,员工应养成明智的习惯,提升自身的密码卫生水平,最大限度减少人为失误。 员工密码管理的一些最佳实践包括使用唯一密码、利用密码管理器以及在可用时启用多因素身份验证(MFA)方法。
继续阅读,了解员工为更有效地保护登录凭证而应遵循的八种密码管理最佳实践。
1. 为每个账户使用强且独特的密码。
为保护敏感信息,每个账户都应使用独一无二的强密码。重复使用密码会增加数据漏洞的风险。 即使一个账户被入侵,网络犯罪分子也可以在多个系统中使用相同的登录凭证,从而有可能访问工作电子邮件、云存储或内部工具。
员工应避免使用诸如 “password123” 或数字序列等简单密码。 如今,网络犯罪分子会利用人工智能 (AI) 工具来破解弱密码,这使得强密码变得更为关键。 强密码应至少包含 16 个字符,并混合使用大小写字母、数字以及符号。 如需帮助创建独一无二的强密码,员工可以借助内置密码生成器的密码管理器。 这些工具能让员工无需记住或写下登录凭证,从而降低发生人为错误的风险。
2. 在条件允许时选择使用通行密钥。
员工应尽可能使用通行密钥,而不是传统的密码。 通行密钥 是一种无密码身份验证方式,允许用户使用生物识别信息或 PIN 码登录。 与密码不同,通行密钥不能在多个账户间重复使用。 同行密钥还具备防网络钓鱼的特性,因为不存在网络犯罪分子可以窃取或拦截的实际密码。 随着密码钥匙的普及,员工应使用它们来简化登录体验,并显著降低其组织遭受基于密码的网络攻击的风险。
3. 将密码存储在公司批准的密码管理器中。
员工应将其登录凭证存储在公司批准的密码管理器中。 将密码写在便利贴上或保存在电子表格中会增加数据泄露的风险。 Keeper® 这样值得信赖的密码管理器,能提供安全的加密存储,生成强密码并自动填充凭证。
4. 在所有提供多因素身份验证 (MFA) 的地方都启用该功能。
多因素身份验证 (MFA) 通过要求额外的身份验证步骤,为在线账户增添了一层额外的安全保障。 员工应在所有支持的账户上启用 MFA,因为即使密码被泄露,MFA 也能阻止网络犯罪分子获得未经授权的访问。 虽然基于短信验证码的方式聊胜于无,但它们容易受到 SIM 卡交换攻击和拦截的影响,因此员工应使用更安全的 MFA 类型,如身份验证器应用程序、硬件安全密钥和生物识别技术。
5. 不要在来自电子邮件或信息的链接中输入密码
网络钓鱼攻击诱骗员工在虚假网站上输入登录凭证。网络钓鱼电子邮件看起来非常逼真,模仿了 Google Workspace 或 Microsoft 365 等可信平台,使用几乎相同的徽标和品牌。 员工应谨慎对待任何使用紧急措辞并要求他们点击可疑链接的非请求信息。 他们不应在未验证发件人并将鼠标悬停在 URL 上以检查其真实目的地的情况下输入密码。 如果网址与官方网站不符,那很可能是一次网络钓鱼尝试。 员工能做的、最好的办法是直接在浏览器中输入网址访问网站,或者向组织的 IT 团队核实。 多花几步来验证链接的安全性,可以防止员工成为可能暴露敏感数据的诈骗受害者。
6. 离开时请锁定屏幕并退出登录。
员工在离开设备前,即使只是短暂休息,也应始终锁定屏幕并注销敏感应用程序或账户,以降低未经授权访问的风险。 将电脑无人看管且未上锁,就等于公开邀请内部人员查看或修改公司信息。 在其他人可能拥有物理访问权限的区域,这一点尤为重要,例如开放式办公环境、共享办公桌,或者使用可能未由 IT 部门管理的自带设备 (BYOD) 时。 在不同公共场所工作的远程员工也面临类似风险,例如陌生人偷窥屏幕或与无人看管的设备交互。
7.如果您认为密码已被泄露,请立即更改密码。
如果怀疑员工的密码被泄露,您必须迅速采取行动。 密码被泄露的常见迹象包括收到意外的登录提醒、收到员工未请求的密码重置电子邮件,或者账户无端被锁定。 如果有任何可疑之处,员工应立即更改受影响账户的密码,并通知其组织的 IT 安全团队。
8. 请遵循贵公司的密码政策。
大多数组织都会制定密码策略,其中会概述创建和管理与工作相关密码的详细指南。 这些策略可能包括最小密码长度、复杂度标准以及密码轮换的频率。 员工必须遵守这些政策,以保持一致性并降低组织的安全风险。 如果员工不确定当前的密码要求,应咨询其所在组织的 IT 或安全政策,以确保合规。
使用 Keeper 增强您员工的密码
强密码管理是员工改善其组织安全态势的最重要方法之一。 从创建强大、独特的密码到离开时锁定屏幕,小小的习惯就能在保护公司敏感数据方面产生重大影响。 为简化并加强整个组织的密码管理,不妨试试适用于 Business 和 Enterprise 的 Keeper Password Manager。 Keeper 提供安全的零知识密码管理,并能与您的现有技术栈无缝集成。
立即开启适用于 Business 和 Enterprise 的 Keeper Password Manager 14 天免费试用,确保组织数据安全无虞。
常见问题解答
What is the best way to manage passwords?
管理密码的最佳方式是使用公司批准的安全密码管理器。 密码管理器会为每个账户生成并存储独一无二的强密码,这样用户就无需依赖记忆,也不必在多个账户中重复使用相同的密码。 它们还能降低人为错误的风险,使员工更容易遵循网络安全最佳实践。 一般公司和大型企业应使用像 Keeper 这样的密码管理器,以确保遵守适当的安全要求。
Are passphrases better than passwords?
是的,密码短语通常被认为比传统密码更强大,因为密码短语更长,更难被破解。 密码短语是由随机单词组成的、便于记忆的短语,可用作登录在线账户的密码。 它们的长度和不可预测性使得它们比复杂的密码更难破解且更容易记住。
How often should passwords be changed?
与普遍看法相反,密码不必每 90 天更换一次。 频繁的手动更改密码(也称为密码轮换)实际上会导致密码变弱,因为人们倾向于依赖更简单或重复使用的密码以便更容易记住它们。 对于企业而言,密码轮换仍然很重要——尤其是对于特权账户而言——但最好将密码轮换流程自动化,以避免发生人为错误以及密码疲劳。 对于特权帐户,建议使用像 KeeperPAM® 这样的平台来安全地自动化密码轮换流程。
