暂无图片
暂无图片
暂无图片
暂无图片
暂无图片
首页 / 闲话中小企业数据安全——密码使用规范

闲话中小企业数据安全——密码使用规范

数据库技术闲谈 2023-09-14
433
问题背景

近些年来屡有数据库数据泄露事件,其中还不乏有一定技术力量的互联网公司。新冠爆发后的三年里,医疗数据泄密也多次发生,随之而来的是各种营销/骚扰/诈骗电话等,令人不胜其烦。

怎样避免这类事件发生呢?很多企业首先想到的是购买一款网络安防产品或者去过等保认证。稍有一定规模的企业(包括政府机构)的 IT 设施都配置有防火墙、VPN、堡垒机等设备。但仍难免数据泄露事件。是黑客的能力太强了吗?我看未必。

就像企业宣传“防火防盗,人人有责”一样,数据安全不是运维一方的责任,而是所有人的责任。当接触过一些中小企业用户后,发现数据安全建设令人堪忧。举个生活中的例子,当你花重金把家里的防盗门连锁一起更换为防护级别最高的配置后,家里的老人出门后还是习惯把钥匙藏在门口地垫下面。

本文要讨论的就是这个“钥匙”的安全使用规范。

现有方案

数据安全首先是运维的责任,运维可以设置一些安全规范,其中一个就是密码安全使用规范。

首先是密码的生成策略。

以数据库密码为例,都有一些安全策略。包括:

  • 密码复杂度。如包含多种类型字符(数字、大小写、特殊符号)、最小长度等。

  • 密码保存使用加密算法。

然后是密码的使用策略。包括:

  • 密码有效期,以及到期前的提醒、到期后的强制修改等。

  • 登陆验证失败次数限制以及超限后的锁定时间等。

数据库上的密码安全措施很好理解,也很容易做到。其他IT系统的密码安全措施要求也类似,只是不一定有数据库密码安全策略这么全面。更大的挑战是在这些密码发送给其他人员过程中的安全。

很多场合都需要发送系统的账户和密码。如:

  • 业务应用开发或运维人员(包括合作伙伴)需要VPN和堡垒机账户和密码远程访问企业内部环境。

  • 业务应用开发人员需要数据库账户和密码,需要配置在应用里。

这些场景也是合理的。问题出在密码的保存和发送机制上。有些企业 IT 系统很多时(包括VPN、堡垒机、服务器、数据库),大量的 IP、账户和密码都明文保存在内部某个网页上、或者word、excel 文档里。要用的时候就复制出来,通过邮件、企业内部聊天工具或外部聊天工具明文发送给其他人员。运维人员把账户密码传播出去后就更加不知道其他人会如何保存这个信息。可能在某个聊天工具的聊天记录里,或者某个TXT、WORD、EXCEL 文件里,或者在某个大平台的云文档里。

互联网大厂里信息系统更多,通过内部统一的登录认证平台将需要系统的访问权限跟员工账户一一关联了,权限的审批和授权都走内部工单系统,真正的系统的账户名和密码不会出现。减少暴漏的机会,就减少泄露的可能。个人账户如果泄密带来安全风险会及时发现、定位并封锁个人账户止损。分析、追责、改进的效率非常高。
改进方案

中小企业 IT 安全难就难在有一个统一的登录认证平台,所以不可避免的有系统账户密码的传播。这个时候就需要借助一类密码安全软件来控制密码传播的风险。这里以我以前做 DBA 时团队使用的密码软件 KeePass 为例(类似的产品还有 1Password)。下面是KeePass的官方介绍总结,应该能够解答用户的一些疑问。下载地址:https://keepass.info/download.html

KeePass 是一款开源的密码管理器软件,用于帮助用户安全地存储和管理密码、用户名、URL、备注等敏感信息。它的主要特点包括:

  1. 密码存储和管理: KeePass 允许用户创建一个安全的密码数据库,其中可以存储各种帐户的用户名和密码。这些密码数据库可以使用一个主密码(Master Password)或一个密钥文件来保护

  2. 强密码生成器: 软件内置了一个密码生成器,可以生成具有高度安全性的随机密码,以帮助用户创建强密码并避免使用弱密码。

  3. 分类和标签: 用户可以将存储的密码和条目进行分类、标签化和组织,以便更容易地查找和管理。

  4. 多平台支持: KeePass 是跨平台的,支持 Windows、Linux、macOS 和其他操作系统,同时还有移动应用程序,可供 Android 和 iOS 用户使用。

  5. 安全性: KeePass 使用强加密算法来保护存储在密码数据库中的数据,使其难以被破解或盗取。此外,用户的主密码或密钥文件是唯一的访问途径,因此必须保护好它们。

  6. 插件和扩展性: KeePass 支持插件和扩展,可以增强其功能,如与浏览器的集成、云同步等。

  7. 开源和免费: KeePass 是开源软件,可以免费使用,而且用户可以检查其代码以验证安全性

由于密码管理对于在线安全至关重要,KeePass 等密码管理器软件可以帮助用户管理大量复杂的密码,提高在线帐户的安全性。然而,用户应该注意保护好他们的主密码或密钥文件,因为失去了它们将导致无法访问存储在 KeePass 中的密码。

再说一些个人感觉非常好的几点使用感受:

  • KeePass 软件相当于新增了一个密码文件,里面保存你所有系统的密码。然后软件使用一个独立的复杂度足够的密码(主密码)来管理对这个密码文件的访问。这是其一。

  • 其二,当我要从文件里复制密码的时候,借助快捷键可以做到即使背后有人,他也看不到密码明文。而我可以将密码输入到系统的密码登录框。并且软件会在 5s后清理掉操作系统“剪贴板”里的密码文本。也就是说最大限度降低了密码的明文出现的概率。

  • 其三,当需要把某个密码或者某个系统的多个密码发送给别人的时候,不需要一一复制出来。只要导出这些密码记录到单独的文件即可。在导出的时候会要求另外指定复杂的密码。然后将密码文件和密码文件对应的密码分两个渠道发送给别人。类似于你将重要文件放到带密码的保险箱里交给快递人员,然后电话告诉接收人保险箱的打开密码。


总结

本文分享的是数据安全中的密码的生成、保管和传播中的规范。这里借助了专业的密码管理软件 KeePass来帮助实现这些规范。数据安全不只是数据库安全,数据安全概念更广,需要所有数据的关联方都有安全意识才行。这里就需要企业安全负责人制定安全规范并自上而下的推广和监督使用。
当然,仅仅是密码安全了,还不够。后面有空再分享数据使用中的安全建议。


其他参考

  • [KeePass 一款免费、开源、全平台的密码管理器 - 知乎](https://zhuanlan.zhihu.com/p/93912803)


网络安全堡垒机信息安全数据库数据安全
文章转载自数据库技术闲谈,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。

评论