安全团队还必须部署必要的工具,例如密码审核器、策略执行工具以及其他可以扫描系统、识别和标记弱密码并提示必要操作的工具。这些工具可确保用户在长度、复杂性和遵守公司政策方面使用强密码。
组织还可以使用企业密码管理工具来帮助用户创建和使用复杂、强的密码,这些密码符合需要身份验证的服务的策略。其他措施(例如用于解锁密码管理器的多重身份 验证)进一步增强了其安全性,使攻击者几乎不可能访问您存储的凭据。典型的企业密码管理器包括 Keeper、Dashlane、1Password。
用户输入清理和数据库保护
攻击者可以使用易受攻击的用户输入字段和数据库来注入恶意代码、获取访问权限并危害系统。因此,安全团队必须使用最佳实践(例如强大的身份验证和有效的工具)来保护数据库和所有类型的数据输入字段。
最好对所有传输中和静态的数据进行加密,并对数据库进行修补并清理所有用户输入。其他措施包括保留文件只读访问权限并向需要的组和用户授予写入访问权限。