通过GDPR合规性加强您的密码策略

可靠的密码策略是企业网络的第一道防线。保护您的系统免受未经授权的用户攻击表面上听起来很容易，但实际上可能相当复杂。您必须在密码安全性和可用性之间取得平衡，同时还要遵守各种法规要求。

欧盟的公司必须有符合《通用数据保护条例》（GDPR）的密码政策。即使您的公司不在欧盟，如果您的员工或客户居住在欧盟，或者客户在那里购买产品，这些要求也适用。

在本文中，我们将研究GDPR对密码的要求，并提供如何设计密码策略的实用技巧。请记住，即使您现在不需要GDPR，数据保护监管计划的基础知识也可以帮助您加强组织的安全性。

GDPR合规性的密码要求

你可能会惊讶地发现，GDPR法律实际上根本没有提到密码策略。如果你只是简单地阅读文本，你可能一开始就认为一家公司可以实施任何密码政策，而不必担心GDPR的合规性。

然而，GDPR法律将在预防的保护伞下影响密码政策。

防止未经授权访问信息

公司从客户或其他来源收集的任何信息都需要根据GDPR合规性得到适当保护。这意味着要采取强有力的安全措施，防止黑客和其他未经授权的个人访问这些数据。

众所周知，保护任何数据最重要的数字安全步骤之一是密码。

创建符合GDPR的密码策略的提示

下面是创建强密码策略时要考虑的一些最佳实践，这些策略将使系统保持安全，并使您更接近合规性。

使用密码列表阻止泄露的密码

好的密码需要很难破解或猜测。如今，被盗和暴力强迫的凭证是数据泄露的主要原因。为了保护您的数据免受这些攻击，密码策略应该禁止常见密码和被破坏的密码。

由于密码重复使用，许多基于凭据的攻击使用一个系统中被破坏的密码列表来攻击另一个系统。NIST和NCSC等政府机构建议阻止泄露且容易猜测的密码被全部使用。这是保护帐户的唯一方法之一，即使加强了密码设置。

不要使用秘密问题

通常的做法是设置可以回答的“秘密问题”，以便解锁或重置帐户密码。

秘密问题可能是“你母亲的娘家姓是什么”或“你学校的吉祥物是什么”由于这类问题容易受到社会工程攻击，因此最好完全避免它们。

考虑MFA

提高密码安全性的最佳方法之一是实施多因素身份验证。在这里，除了用户名和密码外，还使用其他因素来验证用户。

例如，这可以是在身份验证期间专门为用户在其移动设备上生成的一次性密码。

简化GDPR合规性

为您的非欧盟业务实施GDPR可能看起来很头疼，但从法律和网络攻击预防的角度来看，法规遵从性和额外的安全保护将覆盖您的基础。如果您正在寻找更多的英特尔产品，本文总结了GDPR合规性的方式、原因和时间。

当你在考虑GDPR合规性的情况下为你的广告实施密码策略时，最好使用第三方工具来帮助你的密码策略到达你的整个最终用户目录。

我最喜欢的是Specops密码策略，它可以帮助您阻止Active Directory中被破坏的密码和其他被破坏的密码。在Active Directory中更改密码期间，如果在泄漏密码列表中找到用户选择的密码，该服务将阻止并通知用户，并为密码合规性提供动态反馈。Specops密码策略可以轻松地屏蔽易受攻击的密码，并遵守最新的密码指南。

Specops密码策略使您的策略井然有序，易于配置

使用密码策略工具不仅有助于GDPR合规性，防止未经授权访问信息，还可以使您的内部广告基础设施保持有序和安全。Specops密码策略扩展了组策略的功能，简化了细粒度密码策略的管理，从而简化了密码安全性和法规遵从性。

无论您是在使用密码策略工具，还是在手动教育最终用户，GDPR合规性都可以成为任何安全基础设施的一项资产，无论位于何处，而且如果您正在存储和管理欧盟公民数据，请不要忘记这一点是强制性的。