科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道安全管理实务之四:口令管理

安全管理实务之四:口令管理

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

作为简单有效的安全措施,口令一直是身份管理普遍采用的方式。网络接入、电子邮件和Web服务使口令得到了广泛的应用,口令的安全问题开始被人们关注。

作者:中国IT实验室 2007年8月22日

关键字: 安全管理 数据库加密 Web认证工具

  • 评论
  • 分享微博
  • 分享邮件

  作为简单有效的安全措施,口令一直是身份管理普遍采用的方式。网络接入、电子邮件和Web服务使口令得到了广泛的应用,口令的安全问题开始被人们关注。我们知道,口令的安全与它的长度和复杂度息息相关,越长越复杂的口令越不容易被黑客破解,但是这样的口令却难于记忆。口令管理产品被专家认为是化解上述矛盾的有效解决办法。  

  安全管理实务之四:口令管理   

  在Sun Trust公司网管员每天收到的来自企业内部的求助电话中,有27%到35%是与口令相关的。为了解决这一问题,该中心开始采用口令管理软件。通过部署口令管理软件,员工可以从内联网中重新设置其在Windows NT、NetWare和IBM大型机资源访问控制系统中的口令。在重新设置后,口令管理软件同步新口令,使员工使用一个口令就可以访问所有的系统,这样做之后,网管员接到的求助电话骤减。Sun Trust并不是一个孤立的案例,事实上与Sun Trust有相同遭遇的公司数不胜数。   

  口令管理产品在一年前开始大量进入市场。目前,产品已相当成熟和稳定。口令管理产品的起价通常为每用户15美元,这一价格还可以降低。许多用户已经意识到,如果仅仅依靠人工进行密码管理,既费时费力,又效率低下,而且还需要额外支付一笔费用,相比之下,采用口令管理软件显然是一个省时省力、经济实惠的解决办法。   

  口令管理产品的分类及功能   

  企业级口令管理产品可以分为三类:点产品(point product)、一次性登录工具(single sign-on tools)和框架产品(provisioning framework)。   

  点产品的成本最低,大型公司还可以将价格降至1美元。尽管功能相似,但是不同的点产品具有不同的特性。一些点产品可以与帮助软件一起使用,当口令需要重新设置时就会生成审计日志或故障清单;一些点产品支持基础入侵检测系统和其他模块;另一些点产品提供大量预置的应用接口。点产品具有较低的成本和较高的投资回报率,适合中小型企业用户采用。   

  在批准客户或合作伙伴访问企业的系统时,一次性登录工具就体现出重要作用。大多数一次性登录工具不仅能够同步口令,而且还可以将用户登录到多个后端系统上。一次登录工具的标价高于点产品,每用户为80美元。Web认证工具也属于一次性登录产品,它将口令管理与Web应用一次登录捆绑在一起。   

  配置框架将工作流引擎与口令管理和账户授权功能组合在一起,自动创建和删除特定用户要求的账户集合。对于只需要口令管理的用户来说,配置框架的功能和费用超出了这些用户的需求,而且配置框架需要大量进行应用集成和业务重建,仅部署费用一项就高达上百万美元。在大型口令管理任务中,配置框架显示出强大的威力。例如,一些大学IT部门使用配置框架处理学生账户,迅速按照每位学生的学习课程定制创建新账户,同时删除几千名离校学生的账户,或是暂停学生账户。   

  部署配置框架的用户不再需要点产品,那些使用点产品的用户可以很容易地迁移到配置框架上来。几乎所有的点产品厂商都提供配置框架的添加件。迁移到配置框架技术意味着用户必须拆除已安装的口令管理系统。对于业务规模不断扩大的大、中型用户来说,框架产品是一种比较理想的选择。   

  无论是哪一种口令管理产品,都必须具有以下三种功能:自助服务口令重新设置、口令同步和口令政策实施。其中,自助服务口令重新设置使得用户通过正确回答以前提供的“质询问题”来重新设置忘记的口令,而且大多数产品支持代理的口令重设,即由用户打电话给代理人,由代理人进行密码重设。口令同步允许将一个口令用于多种系统。当一个口令被重新设置后,所有的系统都被自动更新。口令政策实施保证新口令不仅符合操作系统要求,而且还遵守网络部门的政策。   

  口令管理产品的选择要点   

  由于大多数口令管理产品具有类似的功能,所以当用户选择口令管理产品时,不仅需要考察其功能和兼容性,而且需要格外重视以下几点。   

  是否使用自己的数据库,是否支持用户已有的目录产品和数据库产品。   

  一些产品采用加密数据库进行密码重设,这时用户需要查看数据库加密的原理。一些产品采用哈希算法进行数据库加密,这种产品要求密码高精度匹配,具有很高的安全性;另外一些采用密钥加密方法,允许密码冗错匹配,使数据容易恢复。对于以上两种产品,用户应该根据实际情况,酌情选择。   

  客户端界面是否支持密码重设和是否使用代理技术。一些产品支持代理,而另外一些产品不支持代理。是否支持代理决定了口令管理产品在网络中的部署会有很大不同。   

  目前和计划支持的系统有哪些。大多数口令管理产品目前只支持轻量级的目录访问,很少提供XML输出格式,XML格式对于实现数据共享有重要意义。而目前多数产品只能通过API为应用提供接口。   

  口令管理产品的实际应用   

  许多口令管理产品在支持多客户机、操作系统和应用的同时,能够与帮助台、审计和其他网络管理产品进行集成。下图显示了口令管理产品在网络环境中的工作流程。   

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章