企业有责任妥善存储和共享信息。过去的可怕事件,如雅虎的大规模数据泄露导致数百万用户的敏感信息被泄露,突显了为什么企业主如此担心其组织中的数据安全。
数据泄露不仅会使用户的隐私受到威胁,而且还会对公司的财务和声誉产生不可逆转的影响。这就是为什么企业需要遵守GDPR,PCI DSS和HIPAA等合规性要求,以确保其数据安全。
密码安全最佳实践
数据合规性法规会定期修订,从密码破解专家、黑客行为和以前的违规行为中获取见解。以下是法规对密码安全最佳实践的规定:
| 合规监管 | 描述 | 密码安全准则 |
|---|---|---|
| GDPR | GDPR 由欧盟颁布,侧重于正确收集、存储和处理个人个人和敏感数据的法规。 | 最小密码长度应为 8 个字符;旧密码不得重复;密码不应包含个人信息或字典单词;建议对密码使用密码短语 |
| HIPAA | HIPAA 包括保护由任何企业、机构或机构处理的个人健康信息的标准。 | 最小密码长度应为 8 个字符;应避免使用密码提示和常用字典单词; |
| PCI DSS | PCI DSS 包括处理敏感持卡人数据的企业必须遵守的规定。 | 最小密码长度应为 7 个字符;密码本质上必须是字母数字,并以加密方式存储;密码必须定期重置,旧密码不应重复使用;必须限制允许的失败登录尝试次数;用户必须使用严格的 MFA 技术进行身份验证 |
| Essential Eight | Essential Eight 包括澳大利亚政府提出的基线缓解策略,以加强组织的网络防御。 | 用户必须使用 MFA 技术进行身份验证;必须向用户和管理员授予受限资源访问权限 |
| CJIS | CJIS是美国联邦调查局的一个部门,负责制定标准和适当的控制措施来保护,传输,存储和访问刑事司法信息。 | 最小密码长度应为 8 个字符;密码不应是字典单词、用户名或以前使用过的密码;密码必须每 90 天更改一次,并且必须安全存储 |
| SOX | SOX 法案由美国政府颁布,旨在保护股东和公众免受组织中的会计错误和欺诈活动的影响。 | 密码必须尽可能长;创建密码时必须避免使用常用词;用户必须使用 MFA 技术进行身份验证 |
| NIST | NIST标准由美国国家标准与技术研究院起草,是最具影响力的推荐标准,用于创建无法被黑客入侵的强密码。 | 密码长度比复杂性更重要;必须避免频繁的密码重置;必须限制允许的失败登录尝试次数;密码必须加密并安全存储;应避免在输入密码时向用户提供提示 |
如何实现密码安全性和合规性
密码策略实施器
- 允许强制实施与内置 AD 密码策略集成的自定义密码策略。
- 帮助强制实施限制字典单词、模式和回文等要求,并规定必须使用的特殊字符、数字字符和 Unicode 字符的数量。
访问策略
- 允许您在给定域中定义任意数量的自助服务策略。
- 提供用于限制身份验证尝试失败次数、限制自助密码重置频率、在登录期间启用 CAPTCHA 代码验证、分析密码强度等的选项。
MFA
- 为基于云的和本地的应用程序访问以及终结点提供 MFA 支持。
- 提供大约 20 种身份验证因素,包括生物识别、双核安全、TOTP、YubiKey 和智能卡。
确保密码合规性的好处
- 符合监管标准:确保您的组织符合 NIST SP 800-63B、PCI DSS、Essential Eight、CJIS、SOX、GDPR 和 HIPAA 合规性要求。
- 简化的审核和跟踪:通过多个综合报告,让管理员全面了解其用户的密码和帐户状态,并使数据收集变得容易,以便进行法律审计。
- 灵活性和安全性:根据用户的角色和对敏感数据的访问级别,为组织中不同类型的用户创建不同的策略。确保用户创建不受网络攻击的强密码。
- 控制和一致性:通过基于审批的自助服务,管理员可以控制用户的自助服务操作,并确保以安全、一致的方式处理这些操作。
ADSelfService Plus是一种身份安全解决方案,可以结束许多网络攻击,节省 IT 成本。借助 ADSelfService Plus,管理员可以保护多种 IT 资源,包括身份、计算机和 VPN,减轻 IT 帮助台的负担,为用户提供自助服务功能,并获得对分布在本地、云和混合环境中的身份的 360 度可见性和控制。
