员工常常发现不断输入密码很烦人。作为外部数据保护官,我们意识到了这个问题:用户经常设置简单且容易猜测的密码。这对于企业数据保护和数据安全来说是一个风险。正确制定和实施的密码策略有望解决这一问题。
根据 BDSG,企业数据保护的一个关键问题是访问控制。只有获得授权的员工才有权访问个人身份数据。密码保护有助于确保对 IT 系统的可靠访问控制。
一些内部数据保护官员或 IT 员工认为密码策略仅仅是定义密码,即它制定了作为选择密码规则的指导方针。事实上,也可以实施整体方法,将以下领域以及其他可能涉及的领域考虑在内。
设置密码:重点是密码安全。密码策略除其他事项外,还规定了公司内部的密码要求。每个用户都必须根据安全策略设置自己的密码。目标是创建无法猜测的安全密码。同样,用户可以定期更改密码。
密码传输:如果数据通过外国网络以未加密的形式传输,那么即使最好的密码和定期的密码更改也是无用的。密码策略可以决定哪些安全规则必须适用于网络和连接(通过其传输密码)。
密码的存储:密码的存储也是如此。最好将其作为哈希值在安全的位置加密,例如在您自己的服 塞内加尔电报数据 务器上或经过认证的云提供商处。
攻击者如何绕过密码保护
当我们观察攻击者窃取密码所使用的方法时,上述领域的重要性就变得清晰起来。这使得他们能够访问系统并访问存储的个人数据。以下是攻击者用来突破密码保护的部分方法的摘录。
暴力破解:暴力攻击试图通过字母、标点符号、特殊字符和数字的组合来猜测密码。
字典攻击:在字典攻击中,攻击者使用包含特别常用密码的数据库。同样,字典中的术语也只是尝试一下。因此简单的单词不适合作为密码,提供的密码安全性太低。
嗅探:监控包括密码输入和用户名输入在内的数据流量。监控可以通过在自己的系统内使用恶意软件等方式进行。同样,通过监控您自己的 IT 之外的网络连接。另一个风险是硬件键盘记录器,例如隐藏在计算机和键盘之间。
社会工程学:不是猜测或拦截密码,而是直接向用户索取密码。攻击者会欺骗受害者,例如,在电话中冒充 IT 部门的同事,并声称出于测试目的而询问密码。受害者出于善意,在没有意识到数据保护风险的情况下披露了他们的访问数据(用户名和密码)。
高密码安全性提示
在越来越多的公司中,操作系统和应用程序只接受除字母之外还包含数字和特殊字符的密码。原则上,这是一个很好的方法,因为它可以更好地抵御字典攻击。以下提示可以帮助进一步提高密码安全性。