美政府要求承包商满足DFARS密码要求
美国政府要求政府项目承包商必须满足 DFARS 密码要求,不遵守要求的承包商可能会受到巨额罚款和集体诉讼。
政府合同对于任何组织来说都是非常有吸引力的,从最近科技公司为国防部 JEDI 项目的激烈竞争就可以看出来,该项目的资金超过一百亿美元。
与政府机构进行合作的组织必须遵守一套安全标准和规范,其中最关键的是由美国国家科学技术研究院(NIST)在安全领域制定的标准,包括识别、认证、信息存储和处理等。
国防部希望与其合作的组织也必须遵守《国防联邦采购法规补充条款》(DFARS),这是一套适用于美国民用和国防单位的标准。
便利与安全
多年来,安全专家建议使用由小写字母、大写字母、数字和符号组成的长且复杂的密码(要求用户输入类似!V4Dv$hJUF2g%J的密码)。此外,这还不够,还要求用户为每个账户设计唯一的密码,并且每隔几个月就更改一次。
事实上,复杂的密码很难被人记住,大多数的用户不会找到合适的解决办法。很多人会将密码存储在文本文件中,或者在不同账户间重用相同的密码。
出于这些考虑,NIST 放宽了有关密码的要求。复杂的密码不必要定期更改,NIST 建议使用介于 8 到 64 个字符的密码,并在怀疑密码泄露的时候进行修改即可。在修改新密码前,还要对照已泄露的密码列表进行检查,例如Have I Been Pwned。
NIST 认为密码的复杂度已经达到极限了,计算机每年都在变得越来越快,功能也越来越强大。
密码存储和管理
组织一旦解决了密码复杂度的问题,密码存储就会变成更大的问题。密码存储在服务器之前,必须进行哈希处理。实际上,纯文本密码存储比简单的密码还糟糕。
如今,大多数组织都能够保证存储密码的哈希值。但仅仅这样还不够,还必须控制对这些密码的访问,并确保未经授权的人员不能访问密码。例如,Facebook 的纯文本密码存储可供员工进行搜索。
组织面临的另一个挑战是检测并阻止恶意访问尝试,必须检测并阻止多次失败的访问尝试,
多因子身份验证
显然,仅凭密码不足以保护用户。简而言之,MFA 通过要求用户提供他们知道的信息(如密码)、持有的信息(如移动 App 或安全密钥)、拥有的信息(如生物特征)来验证用户身份。
DFARS 认证某些类型的多因子认证,包括安全存储在端点上的证书(如钥匙串、TPM 或 TEE)。此外,还必须严格保护密钥,防止未授权的密钥泄露。最后,组织必须确保密钥不能在多个设备之间传递。
不过使用多因子认证也会遇到问题,许多用户每次访问账户都会遇到输入密码的问题。在登录过程中输入额外的一次性密码或生成物理密钥所带来的麻烦通常令人反感,优选的话用户会完全禁用多因子认证。
为政府合同做好准备
CISO 和 IT 安全团队的最终目标是最大程度地提高安全性,同时保持员工的可访问性与易用性。当增加遵守严格的网络安全和隐私法律的需求时,这可能更难实现,成本也会更加高昂。用户身份验证的挑战也许正表明了便利和安全的冲突。幸运的是,如今各种解决方案可为所有的数字资产提供更好的安全性、更方便的合规性和更高的用户满意度,帮助组织为各种情况做好准备。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
痛点与要点:中国企业网络安全现状及需求分析
企业网络安全三分靠技术,七分靠管理。只有认清现状,利用有限的资源,围绕数据安全的核心任务,从需求出发,面向安全威胁,以安全建设和安全运营为根本手段,才能最终提高网络安全相关风险管理水平。继上一篇《大数据解读中国网络安全人才市场现状》之后,我们再次邀请到智联招聘安全总监张坤,从安全威胁、安全管理和安全需求的角度,为我们刨析中国企业网络安全现状。在《人才篇》和《需求篇》之后,我们还将发布《建设篇》,重点讨论企业网络安全团队建设,作为本系列中国网络安全市场分析的终章。 中国企业网络安全现状的四个重点问题 1. 数据泄漏仍然是企业安全风险最大的来源。对企业而言,数据安全日渐成为核心业务系统体系运转的基石,数据已经成为网络安全行业聚焦点最高的一个细分领域。而对企业而言数据一直以来是重要生产资料,数据驱动业务决策也成为实践业务创新的核心手段。随着数据交易的常态化,勒索软件开发市场的规模化,数据衍生服务的体系化,在低成本高收益的诱惑下,企业的核心数据保护均面临着来自内外部的巨大风险。 2. 数据泄露途径、动机、涉案角色均呈现出多元化和隐蔽化的特点,从泄露数据类型、泄露人身份、泄露动机和泄露渠道等更精...
- 下一篇
瑞数信息完成C+轮1.3亿元融资,加大“AI+动态安全“投入布局千亿级中国信息安全市场
日前,中国Bots自动化攻击防护领域专业厂商瑞数信息正式完成人民币1.3亿元的C+轮融资,在疫情引发全球经济放缓、资本市场低迷的大环境下,瑞数信息圆满完成本轮融资,足见中国信息安全市场的巨大潜力和机会,也验证了资本市场对瑞数信息自主可控的“AI+动态安全”产品能力和业务前景的充分认可! 瑞数信息CEO余亮先生表示:“随着本轮融资的注入,瑞数信息将进一步推动动态安全与AI人工智能的深度融合,加大在业务、应用及数据安全领域的研发和创新投入,打造更加精细化、协同联动和智能的产品矩阵。同时,还将进一步拓宽市场、行业、渠道及企业级客户的广泛覆盖,并积极与云、大数据等业内知名服务供应商建立生态合作,构筑数字中国的新一代主动防御安全体系。” 作为中国动态安全技术的创新者以及Bot自动化攻击防护领域的专业厂商,瑞数信息在过去的一年交出了一份令人赞叹的答卷:亿元级的收入,300+头部标杆和关键基础设施企业客户,用户群广泛覆盖政府、金融、电信、医疗、教育、电力能源、互联网等众多行业和领域。全新升级的动态安全2.0产品体系不仅将瑞数信息的安全版图从Web端进一步拓展到包含移动端、云端及API安全在内的更广阔...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- SpringBoot2全家桶,快速入门学习开发网站教程
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- CentOS7,CentOS8安装Elasticsearch6.8.6
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- MySQL8.0.19开启GTID主从同步CentOS8
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装