Med brukernavn og passord meldinger kommer mot brukere med alle personlige og profesjonelle innlogging, hver gang på en stund at de er nødt til å glemme hvilke kombinasjoner gå med hvilket tilgangsforespørsler.
Slike blundere i digitalt minne kan sende brukere til helpdesk i hopetall.
Gartner data viser at passordrelaterte spørsmål står for omtrent 30 prosent av den totale trafikkvolum for flerbruks hjelp pulter, sier Gregg Kreizman, en forskningsdirektør i firmaet.
Men det samtalevolumet faller med et gjennomsnitt på 70 prosent når selskaper bruker passordhåndteringsverktøy, sier han.
Password-ledelse verktøy redusere help desk byrde - stab og kostnadsmessig - ved å tilby en selvbetjent reset mulighet for brukere som har glemt sin versjon av "åpen sesam", selv om de har fått låst ute av programmet, system eller nettside de prøver å logge på. I tillegg passord styringsverktøy raskere tilgang til ressurser for brukere som har glemt passordet sitt.
[Også lære om privilegerte identitet styringssystemer]
Med hjelp-resepsjon relaterte kostnader som spenner fra $ 3 til $ 18 per forespørsel, Kreizman sier, er det lett å forstå hvorfor redusere tilbakestilling av passord forespørsler er den viktigste driveren for å vedta passordhåndteringsverktøy.
Men passordhåndteringsverktøy har andre fordeler også. For eksempel kan de effektivisere endringsprosessen ved å synkronisere tilgang på tvers av flere systemer, og de kan hjelpe bedrifter å styrke og håndheve passordrutiner.
bruke saker
I dusin eller så år siden introduksjonen , passordhåndteringsverktøy har blitt enterprise stifter.
At Partners Healthcare System, for eksempel Courion er PasswordCourier verktøy har hjulpet med passord ledelse siden 2007, sier Mary Buonanno, direktør for IS støtten på helsepersonell. Spesielt, sier hun, bruker Partners verktøyet for å administrere passord for mer enn 80.000 kontoer på Microsofts Active Directory og RSA er SecurID-godkjent VPN. "Vi trengte et verktøy for å administrere alle disse passordene, som vi åpenbart ikke kunne gjøre det gjennom innfødte Windows," Buonanno sier.
"Mens noen programmer har egne passord butikker, noe som bruker Active Directory for godkjenning får fordelen av å ha PasswordCourier for å administrere passord. Vi mener det er viktig å gjøre dette på døra, og deretter gjennom politikk og beste praksis administrere passord for alle de avdelingene som eier sine egne applikasjoner, "sier hun.
At Flagler College i St. Augustine, Fla., er mer begrenset den passordadministrasjon bruk tilfelle, men har ikke mindre effekt.
"Vi trengte et verktøy med nok intelligens slik at når vi endret et administrativt passord på en server eller system ville det skure nettverk for avhengige tjenester og oppdatere sine akkreditiver. Ellers disse tjenestene slutter å fungere, og det er virkelig ikke noe gøy ", sier Brendan Hourihan, direktør for nettverk og desktop støttetjenester på Flagler.
Bruke ManageEngine sin Password Manager Pro, sier Hourihan han kan nå endre administrative passord for høgskolens 50 eller så servere med større letthet og tillit, og ikke minst større frekvens.
"Vi hadde vært nølende til å endre passord før vi hadde dette verktøyet - det er sannheten - fordi vi visste aldri hva knyttet til hva før noe blakk. Og at noen ganger tok dager å oppdage, "sier han." Nå kan vi endre passord hver 90. dag eller når vi trenger det, og vi bruker Password Manager Pro til å oppdage og oppdatere de relaterte legitimasjon. "
Evaluere Verktøy
Courion sin PasswordCourier og Manage Engine Password Manager Pro er to av mange passordhåndteringsverktøy klar for enterprise bruk annet inkluderer Avatier passord Station og passord dørvakt, Hitachi ID Systems 'ID Password Manager og Omada sin Password Manager..
Når man skal vurdere passordhåndteringsverktøy, råder Kreizman selskapene å vurdere følgende funksjoner:.
* Muligheten til å tilbakestille passord på alle systemene du bruker denne ofte, men ikke alltid, betyr Aktiv Directory alene eller sammen med andre systemer. (Les også Hvordan gjøre passordtilbakestillinger høyre.)
* Muligheten til å synkronisere passord på tvers av flere systemer. De fleste verktøy samkjøre seg en master repository (oftest Active Directory), men noen tillater oppstart fra andre målet systemer. I sistnevnte tilfelle kan en IBM AS /400 eller stormaskin brukeren kunne tilbakestille et passord og forplante endringen derfra heller enn å måtte starte synkronisering gjennom Active Directory.
* Tilgjengelighet av selvbetjening reset evne , mest typisk gjennom en nettleser eller fra Windows sign-on-grensesnittet.
* Tilgjengelighet av en interaktiv stemmerespons grensesnitt, hvis du ønsker å være i stand til å bruke det som en reset selvbetjening alternativ.
* Bruk av en utfordring-og-svar mekanisme som en bruker må fullføre før han får tilgang til selvbetjent reset funksjon. Spørsmålene skal hjelpe brukerne med å huske passordene sine, men være sterk nok til å gjøre funn vanskelig for en angriper.
Kreizman sier bedrifter kan også vurdere om et verktøy gir en helpdesk grensesnitt for åpning, lukking og sporing hendelser, og enten det integreres med flere avanserte godkjenningsmetoder, for eksempel RSA SecurID, som Partners bruker i forbindelse med PasswordCourier, eller tale biometri.
Mens stående passordhåndteringsverktøy kan bevise sin verdi raskt, de har modnet til et punkt der de ikke er ofte solgt på egenhånd lenger. Mer typisk, de er integrert i bredere tilgang-og identitetsadministrasjon suiter, som CAs Access Control, Cyber-Ark Softwares Privileged Identity Management Suite og Novell Identity Manager.
"Det vil alltid være folk som spør om bare passordhåndteringsverktøy og retningslinjer, men flere og flere mennesker vil spørre om disse som en del av identitet og tilgangsstyring ", sier Andras CSER, en analytiker med Forrester Research.
Kreizman enig. "Vi tar samtaler på rene passordhåndteringsverktøy konsekvent gjennom hele året, men noe sånt som ti ganger mindre enn de vi tar på emner som bedriften single sign-on [SSO]," sier han.
Den antagelsen, i mange tilfeller, er at passord ledelse er en del og pakke av en bedrift SSO distribusjon. "Selv om du har single sign-on til et sett av skivesystemer, du fortsatt trenger en reset verktøy for ett passord som får deg i," Kreizman sier.
"Når det gjelder passord ledelse, bunn linjen er at vi tenker i form av å håndtere identiteter og ikke bare passord, "sier David Sheidlower, CISO på Helse Quest, et helsevesen.
For det, bruker Helse quest Novell Identity Manager til å opprette, endre og deaktivere legitimasjon for ca 6500 brukere tilgang til en rekke systemer. "Vi bruker identitetshåndtering for våre Windows-miljø - Active Directory, elektronisk pasientjournal, noen leger 'portal, og selv for vår fysiske badge system," Sheidlower sier, og bemerker at ansatte bruker merkene, ikke bare for fysiske bygningen tilgang, men også for å logge på delte arbeidsstasjoner. De sveiper kortene sine, som igjen initierer en Novell SecureLogin SSO økt.
"Med SSO, og ID-ledere generelt, alle passord i henhold til identitetsforvaltning er synkronisert. Så når en bruker endrer et passord i ett system, det endringer i alle systemer, "sier Sheidlower.
For bedrifter venturing inn i verden av software-as-a-service (SaaS) levering, finne en passord styringsverktøy kan bevise litt mer komplisert, bemerker CSER.
"Synkronisere passord eller sende passord til SaaS-applikasjoner kan være vanskelig, så vi ser SaaS-applikasjoner stadig å kunne bruke forente tilgangskontroller eller SAML," sier han, med henvisning til Security Assertion Markup Language, en XML-basert åpen standard for utveksling av godkjenningsdata mellom identitet og tjenesteleverandører.
"Alternativt" CSER sier, "de bruker en identitet portal som Symplified, Ping Identity eller Conformity [nå IronStratus], eller de bruke AD FS [Active Directory Federation Services], som støtter SAML. "
Men den enkleste og billigste måten å gi passord ledelse i en SaaS miljø er å bruke et program som kan hente passord fra den lokale Active Directory depotet, sier han. Hvis det ikke er mulig på grunn av sikkerhetsproblemer eller andre problemer, så han anbefaler at selskapene bruker AD FS eller SAML. Hvis ingen av disse alternativene fungerer, og deretter vurdere en av de identitets-portal leverandører, sier CSER.
Dette siste alternativet var den mest gjennomførbare for Geezeo, sier James Elwood, visepresident for teknologi for selskapet, som gir . elektroniske bankløsninger for banker og kreditt fagforeninger
Geezeo integrert Ping Ping forbund Internet SSO med en personlig økonomistyring tjenesten de selger til banker og kreditt fagforeninger. Disse organisasjonene deretter integrere tjenesten med sine elektroniske kunde banktjenester verktøy, Elwood sier.
"Vi måtte finne en enkel måte å få våre bankkunder SSO-aktiverte og koblet med [personlig økonomistyring], som vi hadde utplassert på Amazon [Elastic Compute Cloud], "sier han.
Men Geezeo var bekymret for at det ville være umulig å bygge en hjemmelaget system som ville møte alle sine behov, sier Elwood.
"Det er når vi bestemte oss for å finne et eksisterende passord-ledelse [eller] SSO løsning som var fleksibel nok til å integrere med de ulike infrastrukturer til våre kunder. Ping Identity har en standardbasert tilnærming som ga oss mest fleksibilitet," han sier.
Med passord ledelse, Elwood sier, "målet vårt var å synkronisere passord på tvers av plattformer og applikasjoner."
Gifte Verktøy og politikk
Uansett hvilken type passord -Management verktøy - frittstående, integrert med en identitets- og tilgangsstyring suite eller tilgjengelig gjennom skyen - en bedrift velger, må det også gjelde smarte politikk. Og mens en organisasjon ikke alltid trenger passord-management verktøy for å håndheve politikken, er evnen til å gjøre det ofte et frynsegode av slike utplasseringer, sier Ant Allan, en Gartner forskning visepresident.
"Vi vet at noen programmer ikke gir en måte å definere passord policy, og så det er ikke mulig for en organisasjon å håndheve papir politikk på en per-target grunnlag for slike søknader. Det er der en passord styringsverktøy kan ha en fordel, med passord endringer styres sentralt og politikk håndheves på dette nivået før passord bli skjøvet ned til målet systemer, "sier han.
Den gyldne regel for passord, som Allan innrømmer er litt glatt, er at de skal være lang og kompleks -., men ikke for mye så
"Den lengden og kompleksiteten av passord skaper hva ekspertene kaller passord entropi, som er et mål på hvor vanskelig det er å bryte et passord gjennom en knallbra metode Så. Hvis målet ditt er å gi en grad av beskyttelse mot automatiserte angrep og brute-force gjetter av passord, bør du unngå enkle passord som ville være enkelt for hackere å gjette, "forklarer han.
" Men når du kommer til en viss grad av kompleksitet, får du ikke vesentlig mer nytte mot slike angrep, men du begynner å få problemer med sluttbrukere ikke er i stand til å huske passordene sine, og som har en rekke konsekvenser ", sier Allan.
"Bortsett fra disenchanting folk med sikkerhet, vil du også få en høyere grad av samtaler for passordtilbakestillinger", som er der passordhåndteringsverktøy med selvbetjeningsfunksjoner kom godt med, sier han.
Alt som er sagt, foreslår Allan følgende retningslinjer for passord valg: Passord bør ikke inneholde semantisk innhold. Med andre ord, ingen ord, ingen vanlig språklige setninger, ingen navn, ingen bruker-ID, ingen dato, ingen telefonnumre, og så videre. Passord bør inneholde minst én liten bokstav og ett stor bokstav og minst ett tall, skilletegn eller andre spesialtegn.
En effektiv praksis kalles initialism, som ber brukere å konstruere passord fra den første bokstaven i hvert ord av en favoritt uttrykk, sang, dikt eller lignende.
"Det er egentlig et spørsmål om å finne balansen og å være klar over hva begrensningene du har i dine systemer", sier Allan.
"For eksempel organisasjoner som bruker IBMs stormaskinsystemer, begrenset til åtte tegn passord, måtte gå gjennom kompleksitet regler. Men innen et Windows-miljø, der det er svært lange passord er involvert, kan du håndheve lengden, ikke kompleksitet, "sier han.
[Les mer praktiske råd i Hvordan skrive gode passord]
Passord utløp er en annen viktig faktor, og det er ofte brukt til å etterleve regelverket eller i samsvar med vanlig praksis, men Allan sier de haven 't nødvendigvis vist seg å være beste praksis. Nitti dager synes å være akseptert utløps regelen, og det er søkt på Flagler, Helse Quest og Partners
"Kjøring til jobb, parkering av bil, endring av passord - det er en del av livet her,". Sier partneres Buonanno.
"Med 80.000 brukere, hver dag nesten 1000 mennesker får merknader at det er på tide å endre sine passord. Så vi blar 80.000 passord hver 90. dag,» sier hun.
Helse Quest Sheidlower har et ord av forsiktighet for å håndtere passord utløper med SSO. "Det er en annen liten [leksjon] som kommer opp når du synkroniserer passord på tvers av flere systemer," sier han. "Hvis du kommer til å la din identitet leder eller Active Directory være føreren av passord, og du kommer til å ha passord utløper hvert X dager, så må du sørge for at alle de andre systemene er det administrerende utløper ikke passordene sine raskere enn X dager fordi, avhengig av oppsettet ditt, som kan bryte koblingen mellom de ulike systemene, "sier Sheidlower.
" Og du aldri vil ha en situasjon med SSO hvor du prøver å gå gjennom flere lag og det treffer ett system som har en utløpt passord og alle de andre systemene vet ikke om det, "legger han til. "Det vil bryte SSO for brukeren."
Mens passord administrasjonsverktøy muliggjør forbedret sikkerhet, organisasjoner bør ikke glemme en annen stor fordel: økt sikkerhetsbevissthet blant brukerne, sier Buonanno