Tartsa be a biztonságot: Biztonságos jelszavak és hitelesítés szükséges

az FTC.gov engedélyével használják
Thomas B. Pahl, az FTC Fogyasztóvédelmi Irodájának megbízott igazgatója

Annak érdekében, hogy a hackerek nehezebben tudják blöffölni a számítógépes hálózatot, a gondos vállalatok követik a Start with Security tanácsát, és erős hitelesítési gyakorlatot követelnek meg.

Megfontoltuk az FTC-kiegyenlítéseket, a lezárt vizsgálatokat és a vállalkozásoktól a jó hitelesítés megvalósításával kapcsolatos kérdéseket. Íme néhány tipp a hatékony hitelesítési eljárások használatáról a hálózat védelme érdekében.

Ragaszkodjon a hosszú, összetett és egyedi jelszavakhoz

A jelszó legfőbb oka az, hogy könnyen megjegyezhető legyen a felhasználó számára, de egy csaló számára nehéz kitalálni. Az olyan nyilvánvaló választások, mint az ABCABC, az 121212 vagy a qwerty a „hack me” jel digitális megfelelője. A szakértők továbbá megállapították, hogy a jelszavakat vagy a hosszabb jelszavakat általában nehezebb feltörni.

Az okosabb stratégia az, hogy a vállalatok átgondolják a normáikat, végrehajtják a minimális követelményeket, és oktatják a felhasználókat az erősebb jelszavak létrehozásáról. Továbbá, amikor szoftvereket, alkalmazásokat vagy hardvert telepít a hálózatára, számítógépeire vagy eszközeire, azonnal változtassa meg az alapértelmezett jelszót. És ha olyan termékeket tervez, amelyek megkövetelik a fogyasztóktól a jelszó használatát, konfigurálja az első beállítást, hogy meg kell változtatniuk az alapértelmezett jelszót.

Példa: A munkatárs megkísérli kiválasztani a bérszámfejtést az adatbázis jelszavaként, amely tartalmazza az alkalmazottak bérszámfejtési adatait. A vállalat úgy alakítja ki rendszerét, hogy elutasítsa az ilyen nyilvánvaló választást.

Példa: A vállalati hálózathoz való hozzáférés érdekében egy vállalkozás lehetővé teszi az alkalmazottak számára, hogy beírják a felhasználónevüket és egy megosztott jelszót, amely mindenki számára közös, aki ott dolgozik. Az alkalmazottak szintén használhatják ezt a megosztott jelszót a rendszer egyéb szolgáltatásaihoz való hozzáféréshez, amelyek némelyike érzékeny személyes adatokat tartalmaz. A körültekintőbb irányelv az lenne, ha minden alkalmazott számára erős, egyedi jelszavakat kellene megkövetelni, és ragaszkodni kellene ahhoz, hogy különböző jelszavakat használjon a különböző alkalmazásokhoz való hozzáféréshez.

Példa: A munkatársak értekezletén a vállalat IT-menedzsere tippeket kínál az alkalmazottaknak a jó jelszó-higiéniáról. Elmagyarázza, hogy a jelszavak vagy a hosszabb jelszavak jobbak, mint a rövid jelszavak, amelyek a szokásos szótári szavakon vagy jól ismert információkon alapulnak (például egy gyermek neve, háziállat, születésnap vagy egy kedvenc sportcsapat). Biztonságosabb vállalati jelszó szabvány kialakításával és az alkalmazottak oktatásával annak bevezetésére az informatikai vezető lépést tesz annak érdekében, hogy cége csökkentse az illetéktelen hozzáférés kockázatát.

Biztonságosan tárolja a jelszavakat

A cég első védelmi vonala az adattolvajok ellen a jelszavak titkolására képzett munkaerő. De a legerősebb jelszó is hatástalan, ha egy alkalmazott azt az asztalára írt cetlire írja, vagy megosztja mással. Képezze munkatársait, hogy ne hozzák nyilvánosságra a jelszavakat telefonhívásokra vagy e-mailekre válaszul, beleértve azokat is, amelyek úgy tűnhetnek, mintha egy kollégától érkeznének. A hamis művészekről ismert, hogy telefonszámok vagy e-mail címek hamisításával adják vissza a vállalati tisztviselőket.

A veszélyeztetett jelszó különös kockázatot jelent, ha felhasználható arra, hogy még érzékenyebb információk előtt nyíljon meg az ajtó - például a hálózaton más felhasználói hitelesítési adatokból álló adatbázis egyszerű, olvasható szövegben. Nehezíti meg az adattolvajokat, hogy a szerencsés jelszó-kitalálást a vállalat legérzékenyebb adatainak katasztrofális megsértésévé tegyék azáltal, hogy házirendeket és eljárásokat hajtanak végre a hitelesítő adatok biztonságos tárolására.

Példa: Egy új alkalmazott hívást kap attól, aki azt állítja, hogy a vállalat rendszergazdája. A hívó fél kéri, hogy ellenőrizze hálózati jelszavát. Mivel az új munkatárs a házon belüli biztonsági eligazítással szerzett tudomást a megszemélyesítési csalásokról, nem hajlandó nyilvánosságra hozni a jelszavát, ehelyett beszámol az eseményről a vállalat megfelelő személyének.

Példa: A vállalat a felhasználó hitelesítő adatait és egyéb jelszavait egyszerű szövegben, a hálózatán lévő szövegszerkesztő fájlban tartja. Ha a hackerek hozzáférést kapnának a fájlhoz, akkor ezeket a hitelesítő adatokat használhatnák a hálózat egyéb érzékeny fájljainak megnyitására, beleértve az ügyfelek pénzügyi információinak jelszóval védett adatbázisát. Megsértés esetén a vállalat potenciálisan csökkentheti a jogsértés hatását azáltal, hogy biztonságosabb formában tárolja a hitelesítő adatokkal kapcsolatos információkat.

Védekezés a nyers erő támadásai ellen

Nyers erőszakos támadások esetén a hackerek automatizált programokat használnak a lehetséges jelszavak szisztematikus kitalálására. (Egy egyszerű példában megpróbálják aaaa1, aaaa2, aaaa3 stb., Amíg szennyeződést nem okoznak.) A brutális erőszakos támadások elleni védekezés egy olyan rendszer, amelyet a felhasználói hitelesítő adatok felfüggesztésére vagy letiltására hoztak létre bizonyos számú sikertelen bejelentkezési kísérlet után.

Példa: A vállalat úgy állítja be a rendszerét, hogy bizonyos számú hibás bejelentkezési kísérlet után zárolja a felhasználókat. Ez a házirend alkalmazza azt az alkalmazottat, aki az első próbálkozáskor rosszul írja be a jelszavát, a másodikban viszont helyesen írja be, miközben védi a rosszindulatú, durva erő támadásait.

Az érzékeny fiókok csak jelszóval védhetők

Számos sikertelen bejelentkezési kísérlet után erős, egyedi jelszavakra van szüksége, biztonságosan tárolja őket, és kijelentkeztette az embereket. De a bizalmas információk illetéktelen hozzáférése elleni védelemhez ez nem biztos, hogy elég. A fogyasztók és az alkalmazottak gyakran újrafelhasználják a felhasználóneveket és a jelszavakat különböző online fiókokon keresztül, ami rendkívül értékesvé teszi ezeket a hitelesítő adatokat a távoli támadók számára. A hitelesítő adatokat a sötét interneten értékesítik, és hitelesítő adatok kitöltésére irányuló támadások elkövetésére használják - egyfajta támadás során a hackerek automatikusan és nagy léptékben adják el az ellopott felhasználóneveket és jelszavakat a népszerű internetes oldalakon, hogy megállapítsák, működik-e valamelyik. Egyes támadók időzítik bejelentkezési próbálkozásaikat a sikertelen bejelentkezések korlátozásainak megkerülésére. A hitelesítő adatok kitöltése és más online támadások leküzdése érdekében a vállalatoknak kombinálniuk kell a hitelesítési technikákat a fiókokhoz és a bizalmas adatokhoz való hozzáférést.

Példa: A jelzálogkölcsön-társaság megköveteli, hogy az ügyfelek erős jelszavakkal érjék el a számlájukat online. De tekintettel a birtokában lévő információk rendkívül érzékeny jellegére, úgy dönt, hogy egy további biztonsági réteget alkalmaz. A vállalat titkos ellenőrző kódot használ, amelyet egy hitelesítő alkalmazás generált az ügyfél okostelefonján, és megköveteli, hogy az ügyfél írja be ezt a kódot, és a hozzáféréshez erős jelszavát használja. Ennek a kiegészítő védelemnek a bevezetésével a jelzálogkölcsön-társaság megerősítette a helyszínen a biztonságot.

Példa: Az online e-mail szolgáltatóhoz erős jelszavakra van szükség. De lehetőséget kínál a fogyasztóknak arra is, hogy a kétfaktoros hitelesítést különféle eszközökkel valósítsák meg. Például az e-mail szolgáltató kódot generálhat szöveges vagy hanghívás útján. Ez lehetővé teszi a felhasználók számára, hogy biztonsági kulcsot helyezzenek be egy USB-portba. Kétfaktoros hitelesítéssel az e-mail szolgáltató további biztonsági szintet kínál a felhasználóknak.

Példa: A behajtási társaság lehetővé teszi behajtóinak, hogy otthon dolgozhassanak. A társaság hálózatához való hozzáféréshez, amely az adósokról szóló pénzügyi információk táblázatait tartalmazza, a vállalat megköveteli az alkalmazottaktól, hogy jelentkezzenek be egy virtuális magánhálózatba, amelyet erős jelszó és egy hat másodpercenként véletlenszerű számokat generáló kulcstartó véd. Azáltal, hogy többtényezős hitelesítéssel biztosította a távoli hozzáférést a hálózathoz, a vállalat továbbfejlesztette hitelesítési eljárásait.

Védelem a hitelesítés megkerülésével szemben

A hackerek kitartó csoport. Ha nem tudnak bejutni a főbejáraton, megpróbálnak más virtuális ajtókat és ablakokat kipróbálni, hogy nincs-e nyitva egy másik hozzáférési pont. Például egyszerűen átugorhatja a bejelentkezési oldalt, és közvetlenül egy olyan hálózathoz vagy webalkalmazáshoz juthat, amely állítólag csak akkor érhető el, ha a felhasználó teljesítette a hálózat egyéb hitelesítési eljárásait. Az ésszerű megoldás az, hogy megvédjük a hitelesítés megkerülésének sérülékenységeitől, és csak olyan hitelesítési ponton keresztül engedélyezzük a belépést, amely lehetővé teszi a vállalat számára, hogy szorosan figyelje, ki próbál bejutni.

Példa: A súlycsökkentő klinikának van egy nyilvánosan elérhető weblapja, amely leírja szolgáltatásait. Ezen az oldalon egy bejelentkezési gomb is található, amely lehetővé teszi a meglévő tagok számára, hogy beírják felhasználónevüket és jelszavukat egy speciális, csak „Tagok” portál eléréséhez. Miután sikeresen bejelentkeztek a „Csak tagok” portálra, a tagok más állítólag korlátozott oldalakra navigálhatnak, beleértve a személyre szabott „Haladás nyomon követése” oldalt, ahol megadhatják súlyukat, testzsírukat, pulzusukat, kedvenc futási útvonalukat stb. Ha azonban egy személy ismeri a tag „Haladás követése” oldalának URL-jét, akkor a felhasználó kihagyhatja a bejelentkezési oldalt, és egyszerűen beírhatja az URL-t a címsorba. Ez lehetővé teszi a felhasználó számára, hogy felhasználónevet vagy jelszót megadva megtekintse a tag oldalán található információkat. A biztonságosabb megoldás az, hogy a fogyókúrás klinika biztosítja, hogy az embereknek meg kell adniuk a bejelentkezési adatokat, mielőtt hozzáférnének a „Csak tagok” portál bármely részéhez.

Az üzenet a vállalkozások számára: Gondolja át hitelesítési eljárásait, hogy segítsen megvédeni a hálózaton található érzékeny információkat.