安全管理实务之四：口令管理

　　作为简单有效的安全措施，口令一直是身份管理普遍采用的方式。网络接入、电子邮件和Web服务使口令得到了广泛的应用，口令的安全问题开始被人们关注。我们知道，口令的安全与它的长度和复杂度息息相关，越长越复杂的口令越不容易被黑客破解，但是这样的口令却难于记忆。口令管理产品被专家认为是化解上述矛盾的有效解决办法。 　

　　安全管理实务之四：口令管理 　　

　　在Sun Trust公司网管员每天收到的来自企业内部的求助电话中，有27%到35%是与口令相关的。为了解决这一问题，该中心开始采用口令管理软件。通过部署口令管理软件，员工可以从内联网中重新设置其在Windows NT、NetWare和IBM大型机资源访问控制系统中的口令。在重新设置后，口令管理软件同步新口令，使员工使用一个口令就可以访问所有的系统，这样做之后，网管员接到的求助电话骤减。Sun Trust并不是一个孤立的案例，事实上与Sun Trust有相同遭遇的公司数不胜数。 　　

　　口令管理产品在一年前开始大量进入市场。目前，产品已相当成熟和稳定。口令管理产品的起价通常为每用户15美元，这一价格还可以降低。许多用户已经意识到，如果仅仅依靠人工进行密码管理，既费时费力，又效率低下，而且还需要额外支付一笔费用，相比之下，采用口令管理软件显然是一个省时省力、经济实惠的解决办法。 　　

　　口令管理产品的分类及功能 　　

　　企业级口令管理产品可以分为三类：点产品(point product)、一次性登录工具（single sign-on tools）和框架产品(provisioning framework)。 　　

　　点产品的成本最低，大型公司还可以将价格降至1美元。尽管功能相似，但是不同的点产品具有不同的特性。一些点产品可以与帮助软件一起使用，当口令需要重新设置时就会生成审计日志或故障清单；一些点产品支持基础入侵检测系统和其他模块；另一些点产品提供大量预置的应用接口。点产品具有较低的成本和较高的投资回报率，适合中小型企业用户采用。 　　

　　在批准客户或合作伙伴访问企业的系统时，一次性登录工具就体现出重要作用。大多数一次性登录工具不仅能够同步口令，而且还可以将用户登录到多个后端系统上。一次登录工具的标价高于点产品，每用户为80美元。Web认证工具也属于一次性登录产品，它将口令管理与Web应用一次登录捆绑在一起。 　　

　　配置框架将工作流引擎与口令管理和账户授权功能组合在一起，自动创建和删除特定用户要求的账户集合。对于只需要口令管理的用户来说，配置框架的功能和费用超出了这些用户的需求，而且配置框架需要大量进行应用集成和业务重建，仅部署费用一项就高达上百万美元。在大型口令管理任务中，配置框架显示出强大的威力。例如，一些大学IT部门使用配置框架处理学生账户，迅速按照每位学生的学习课程定制创建新账户，同时删除几千名离校学生的账户，或是暂停学生账户。 　　

　　部署配置框架的用户不再需要点产品，那些使用点产品的用户可以很容易地迁移到配置框架上来。几乎所有的点产品厂商都提供配置框架的添加件。迁移到配置框架技术意味着用户必须拆除已安装的口令管理系统。对于业务规模不断扩大的大、中型用户来说，框架产品是一种比较理想的选择。 　　

　　无论是哪一种口令管理产品，都必须具有以下三种功能：自助服务口令重新设置、口令同步和口令政策实施。其中，自助服务口令重新设置使得用户通过正确回答以前提供的“质询问题”来重新设置忘记的口令，而且大多数产品支持代理的口令重设，即由用户打电话给代理人，由代理人进行密码重设。口令同步允许将一个口令用于多种系统。当一个口令被重新设置后，所有的系统都被自动更新。口令政策实施保证新口令不仅符合操作系统要求，而且还遵守网络部门的政策。 　　

　　口令管理产品的选择要点 　　

　　由于大多数口令管理产品具有类似的功能，所以当用户选择口令管理产品时，不仅需要考察其功能和兼容性，而且需要格外重视以下几点。 　　

　　是否使用自己的数据库，是否支持用户已有的目录产品和数据库产品。 　　

　　一些产品采用加密数据库进行密码重设，这时用户需要查看数据库加密的原理。一些产品采用哈希算法进行数据库加密，这种产品要求密码高精度匹配，具有很高的安全性；另外一些采用密钥加密方法，允许密码冗错匹配，使数据容易恢复。对于以上两种产品，用户应该根据实际情况，酌情选择。 　　

　　客户端界面是否支持密码重设和是否使用代理技术。一些产品支持代理，而另外一些产品不支持代理。是否支持代理决定了口令管理产品在网络中的部署会有很大不同。 　　

　　目前和计划支持的系统有哪些。大多数口令管理产品目前只支持轻量级的目录访问，很少提供XML输出格式，XML格式对于实现数据共享有重要意义。而目前多数产品只能通过API为应用提供接口。 　　

　　口令管理产品的实际应用 　　

　　许多口令管理产品在支持多客户机、操作系统和应用的同时，能够与帮助台、审计和其他网络管理产品进行集成。下图显示了口令管理产品在网络环境中的工作流程。