企业依靠保护机密信息来在市场上建立可靠的声誉，并与客户和客户建立信任关系。但是，缺乏有关密码保护的培训和洞察力可能会阻止公司优化其网络安全。 

Verizon 数据泄露调查报告显示，密码泄露导致 81% 的泄露是通过黑客攻击造成的。大多数员工和个人通过选择熟悉的密码（例如生日、宠物名、电话号码等）来管理他们的凭据。可猜测的密码使黑客能够轻松访问机密文件。 

但是，技术问题并不是导致密码泄露的唯一因素。研究表明， 2021 年98% 的网络攻击是由社会工程学提供的，即为提取机密信息而进行的心理操纵。此外，公司的新员工更容易遭受社会工程网络攻击，因为60% 的 IT 专家认为新员工是数据保护方面的漏洞。 

网络攻击和数据泄露会严重影响公司的运营。通常，企业必须花费大量资金来恢复泄露后的机密数据。其他经济损失包括潜在收入的损失、延迟运营和因泄露客户数据而产生的罚款。 

除了财务损失外，公司还遭受声誉损失，通过驱赶现有客户和新客户而导致销售损失。此外，声誉不佳的公司也可能对新候选人失去吸引力，使企业更难招聘新人才。 

为了避免声誉和财务损失，企业必须设置高级安全措施，例如设置强密码准则以确保数据保护。美国国家标准与技术研究院 (NIST) 制定了几项密码指南，以大幅提高网络安全性。尽管 NIST 为联邦机构制定了这些指南，但私营企业和企业也可以使用这些策略来最大限度地提高其在线安全性。

本指南将为您提供 NIST 密码指南的一般概述，以便您将企业的安全性提升到一个新的水平。 

NIST 密码指南 

美国国家标准与技术研究院 (NIST) 创建了一套指南来设置易于使用且难以猜测的强大密码。该机构定期进行研究并进行后续更新，以确保密码设置标准能够抵御新的和复杂的黑客攻击和数据泄露技术。NIST 最初于 2017 年发布了该指南，但后来在 2020 年更新了该文件。 

NIST 指南强调了几个因素，包括密码质量、社交行为、身份验证、实施、存储和密码更新。让我们看一下 NIST 制定的一些密码安全标准：

打开“显示密码”设置

与普遍看法相反，NIST 鼓励员工在输入密码时打开“显示密码”设置。输入密码后，其他人复制密码的可能性非常低。但是，在输入密码时出错并假设密码不正确可能会迫使员工继续进行密码重置过程。这样做，个人可以触发潜在数据暴露的可能性。 

使用密码管理器 

NIST 密码指南 2020 鼓励公司利用密码管理器来帮助员工和利益相关者使用加密技术生成强大的密码。通过采取这一举措，企业可以消除人为错误的机会。此外，为其团队提供密码管理器访问权限的组织可以允许自动生成难以破解的长而强的密码和密码短语。 

在密码存储方法中集成安全性

NIST 标准还建议组织立即从服务器中删除过时的用户生成密码。该倡议使用零知识密码协议或零化。NIST 指南进一步敦促组织对存储的密码使用散列或加盐策略。散列是指命令如何将任意长度的位串映射到固定长度的位串。 

实施散列策略的组织可以存储密码数据，同时确保保护密码数据库免受潜在黑客的攻击。相反，黑客攻击会为黑客提供一个需要更长时间才能破解的哈希列表，并让组织有更多时间来恢复或采取预防措施。 

另一方面，加盐是指将唯一标记分配给每个密码的技术。因此，即使两名员工使用相同的公共密码，也会为每个密码指定不同的哈希值。 

分配双因素或多因素身份验证

可以使用双因素或多因素身份验证 (MFA) 系统来增强密码保护。这种方法要求员工输入密码并通过安全测试才能登录其帐户。安全测试可以包括多种识别方法、生物识别、面部识别或电子邮件确认。NIST 指南支持这种身份验证策略，因为它可以显着提高密码安全性。不幸的是，该指南没有指定批准的 MFA 来源。 

但是，NIST 已禁止使用 SMS 消息进行双重身份验证。更新后的指导方针指出，发送 SMS 消息是有风险的，因为消息内容可能被拦截或重定向，从而为未经授权的访问铺平了道路。虽然，如果企业使用 SMS 消息进行双因素身份验证程序，他们必须证明用户将他们的电话号码连接到移动网络而不是 VoIP 服务。 

避免频繁更改密码 

2020 NIST 指南进一步敦促用户避免定期更改密码。该指南鼓励用户仅在凭据被泄露或用户请求时才频繁更改密码。此外，指南还强调了一些密码创建实践。 

根据 NIST 的说法，用户必须创建易于记住的密码。密码长度可以变化，至少有 64 个字符。此外，密码可以使用任何便于记忆的字符，例如空格。指南不鼓励使用特殊字符，因为它们会阻碍对记忆的承诺。 

密码如何影响风险管理

密码复杂性会直接影响组织的数字安全。使用简化密码或对多个帐户使用相同密码的组织面临数据泄露、身份盗窃或财务盗窃的高风险。 

成长中的企业必须设置有说服力的密码来保护组织。从本质上讲，依赖互连应用程序和软件程序（如电子邮件、云存储和 SaaS 设施）的公司必须认真对待密码保护。您的员工使用的每个应用程序都可能危及您企业的网络安全，尤其是在员工设置通用密码或弱密码的情况下。 

近年来，密码泄露已变得相对普遍。研究表明，人为错误会导致大多数密码泄露，包括设置弱密码、频繁更改密码、共享凭据以及使用不适当的密码存储方法。 

企业必须采取综合措施来遵守 NIST 密码指南。随时了解更新的密码建议并创建一个遵守这些程序的系统至关重要。公司还可以开展全面的培训课程，以确保他们的团队了解他们需要采取哪些步骤来优化其运营中的安全性。此外，公司可以利用密码管理器并集成加密技术来证明提高的安全性。 

此外，企业还必须采取积极主动的方法来识别泄露的密码并升级其服务器，以确保其系统在受到攻击时仍受到保护。大型组织应使用自动化系统。 

最后的想法 

绝大多数数据泄露都是由于密码泄露造成的。大多数人创建易于记忆的弱且可预测的密码。复杂的工具使未经授权的个人能够访问员工帐户并泄露、损坏或出售机密信息。 

数据泄露可能会给公司带来财务和声誉损失。因此，企业有必要创建安全且难以破解的可靠、强大的密码。NIST 指南可以帮助公司实现这一目标。公司可以随时了解更新的建议，并培训他们的团队安全地创建和保护他们的密码。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 升级基于PED的Thales Luna Network HSM的软件和固件

• Thales ProtectServer 3 HSM–推出新款密码键盘（PIN Pad）

• 您的组织准备好过渡到量子安全加密了吗？

• 为什么组织需要优先考虑PQC就绪实验室

• ESG Research揭示面向未来的加密和密钥管理的重要见解