Tartsa be a biztonságot: Biztonságos jelszavakat és hitelesítést igényel

Írta: Thomas B. Pahl, az FTC Fogyasztóvédelmi Irodájának megbízott igazgatója 2017. augusztus 11. 10:47

Oszd meg ezt az oldalt

Thomas B. Pahl, az FTC Fogyasztóvédelmi Irodájának megbízott igazgatója
2017. augusztus 11

Annak érdekében, hogy a hackerek nehezebben tudják blöffölni a számítógépes hálózatot, a gondos vállalatok követik a Start with Security tanácsát, és erős hitelesítési gyakorlatot követelnek meg.

Megfontoltuk az FTC-kiegyenlítéseket, a lezárt vizsgálatokat és a vállalkozásoktól a jó hitelesítés megvalósításával kapcsolatos kérdéseket. Íme néhány tipp a hatékony hitelesítési eljárások használatáról a hálózat védelme érdekében.

Ragaszkodjon hosszú, összetett és egyedi jelszavakhoz.

A jelszó legfőbb oka az, hogy könnyen megjegyezhető legyen a felhasználó számára, de egy csaló számára nehéz kitalálni. Az olyan nyilvánvaló választások, mint az ABCABC, az 121212 vagy a qwerty a „hack me” jel digitális megfelelője. A szakértők továbbá megállapították, hogy a jelszavakat vagy a hosszabb jelszavakat általában nehezebb feltörni. Az okosabb stratégia az, hogy a vállalatok átgondolják a normáikat, végrehajtják a minimális követelményeket, és oktatják a felhasználókat az erősebb jelszavak létrehozásáról. Továbbá, amikor szoftvereket, alkalmazásokat vagy hardvert telepít a hálózatára, számítógépeire vagy eszközeire, azonnal változtassa meg az alapértelmezett jelszót. És ha olyan termékeket tervez, amelyek megkövetelik a fogyasztóktól a jelszó használatát, konfigurálja az első beállítást, hogy meg kell változtatniuk az alapértelmezett jelszót.

Példa: A munkatárs megkísérli kiválasztani a bérszámfejtést az adatbázis jelszavaként, amely tartalmazza az alkalmazottak bérszámfejtési adatait. A vállalat úgy alakítja ki rendszerét, hogy elutasítsa az ilyen nyilvánvaló választást.

Példa: A vállalati hálózathoz való hozzáférés érdekében egy vállalkozás lehetővé teszi az alkalmazottak számára, hogy beírják a felhasználónevüket és egy megosztott jelszót, amely mindenki számára közös, aki ott dolgozik. Az alkalmazottak szintén használhatják ezt a megosztott jelszót a rendszer egyéb szolgáltatásaihoz való hozzáféréshez, amelyek némelyike érzékeny személyes adatokat tartalmaz. A körültekintőbb irányelv az lenne, ha minden alkalmazott számára erős, egyedi jelszavakat kellene megkövetelni, és ragaszkodni kellene ahhoz, hogy különböző jelszavakat használjon a különböző alkalmazásokhoz való hozzáféréshez.

Példa: A munkatársak értekezletén a vállalat IT-menedzsere tippeket kínál az alkalmazottaknak a jó jelszó-higiéniáról. Elmagyarázza, hogy a jelszavak vagy a hosszabb jelszavak jobbak, mint a rövid jelszavak, amelyek a szokásos szótári szavakon vagy jól ismert információkon alapulnak (például egy gyermek neve, háziállat, születésnap vagy egy kedvenc sportcsapat). Biztonságosabb vállalati jelszó szabvány kialakításával és az alkalmazottak oktatásával annak bevezetésére az informatikai vezető lépést tesz annak érdekében, hogy cége csökkentse az illetéktelen hozzáférés kockázatát.

A jelszavakat biztonságosan tárolja.

A cég első védelmi vonala az adattolvajok ellen a jelszavak titkolására képzett munkaerő. De a legerősebb jelszó is hatástalan, ha egy alkalmazott azt az asztalára írt cetlire írja, vagy megosztja mással. Képezze munkatársait, hogy ne hozzák nyilvánosságra a jelszavakat telefonhívásokra vagy e-mailekre válaszul, beleértve azokat is, amelyek úgy tűnhetnek, mintha egy kollégától érkeznének. A hamis művészekről ismert, hogy telefonszámok vagy e-mail címek hamisításával adják vissza a vállalati tisztviselőket.

A veszélyeztetett jelszó különös kockázatot jelent, ha felhasználható arra, hogy még érzékenyebb információk előtt nyíljon meg az ajtó - például a hálózaton más felhasználói hitelesítési adatokból álló adatbázis egyszerű, olvasható szövegben. Nehezíti meg az adattolvajokat, hogy a szerencsés jelszó-kitalálást a vállalat legérzékenyebb adatainak katasztrofális megsértésévé tegyék azáltal, hogy házirendeket és eljárásokat hajtanak végre a hitelesítő adatok biztonságos tárolására.

Példa: Egy új alkalmazott hívást kap attól, aki azt állítja, hogy a vállalat rendszergazdája. A hívó fél kéri, hogy ellenőrizze hálózati jelszavát. Mivel az új munkatárs a házon belüli biztonsági eligazítással szerzett tudomást a megszemélyesítési csalásokról, nem hajlandó nyilvánosságra hozni a jelszavát, ehelyett beszámol az eseményről a vállalat megfelelő személyének.

Példa: A vállalat a felhasználó hitelesítő adatait és egyéb jelszavait egyszerű szövegben, a hálózatán lévő szövegszerkesztő fájlban tartja. Ha a hackerek hozzáférést kapnának a fájlhoz, akkor ezeket a hitelesítő adatokat használhatnák a hálózat egyéb érzékeny fájljainak megnyitására, beleértve az ügyfelek pénzügyi információinak jelszóval védett adatbázisát. Megsértés esetén a vállalat potenciálisan csökkentheti a jogsértés hatását azáltal, hogy biztonságosabb formában tárolja a hitelesítő adatokkal kapcsolatos információkat.

Védekezés a nyers erőszakos támadások ellen.

Nyers erőszakos támadások esetén a hackerek automatizált programokat használnak a lehetséges jelszavak szisztematikus kitalálására. (Egy egyszerű példában megpróbálják aaaa1, aaaa2, aaaa3 stb., Amíg szennyeződést nem okoznak.) A brutális erőszakos támadások elleni védekezés egy olyan rendszer, amelyet a felhasználói hitelesítő adatok felfüggesztésére vagy letiltására hoztak létre bizonyos számú sikertelen bejelentkezési kísérlet után.

Példa: Egy vállalat úgy állítja be a rendszerét, hogy bizonyos számú hibás bejelentkezési kísérlet után zárolja a felhasználókat. Ez a házirend alkalmazza azt az alkalmazottat, aki az első próbálkozáskor rosszul írja be a jelszavát, a másodikban viszont helyesen írja be, miközben védi a rosszindulatú, durva erő támadásait.

Védje az érzékeny fiókokat nemcsak jelszóval.

Számos sikertelen bejelentkezési kísérlet után erős, egyedi jelszavakra van szüksége, biztonságosan tárolja őket, és kijelentkeztette az embereket. De a bizalmas információk illetéktelen hozzáférése elleni védelemhez ez nem biztos, hogy elég. A fogyasztók és az alkalmazottak gyakran újrafelhasználják a felhasználóneveket és a jelszavakat különböző online fiókokon keresztül, ami rendkívül értékesvé teszi ezeket a hitelesítő adatokat a távoli támadók számára. A hitelesítő adatokat a sötét interneten értékesítik, és hitelesítő adatok kitöltésére irányuló támadások elkövetésére használják - egyfajta támadás során a hackerek automatikusan és nagy léptékben adják el az ellopott felhasználóneveket és jelszavakat a népszerű internetes oldalakon, hogy megállapítsák, működik-e valamelyik. Egyes támadók időzítik bejelentkezési próbálkozásaikat a sikertelen bejelentkezések korlátozásainak megkerülésére. A hitelesítő adatok kitöltése és más online támadások leküzdése érdekében a vállalatoknak kombinálniuk kell a hitelesítési technikákat a fiókokhoz és a bizalmas adatokhoz való hozzáférést.

Példa: A jelzálogkölcsön-társaság megköveteli, hogy az ügyfelek erős jelszavakkal érjék el a számlájukat online. De tekintettel a birtokában lévő információk rendkívül érzékeny jellegére, úgy dönt, hogy egy további biztonsági réteget alkalmaz. A vállalat titkos ellenőrző kódot használ, amelyet egy hitelesítő alkalmazás generált az ügyfél okostelefonján, és megköveteli, hogy az ügyfél írja be ezt a kódot, és a hozzáféréshez erős jelszavát használja. Ennek a kiegészítő védelemnek a bevezetésével a jelzálogkölcsön-társaság megerősítette a helyszínen a biztonságot.

Példa: Az online e-mail szolgáltatóhoz erős jelszavakra van szükség. De lehetőséget kínál a fogyasztóknak arra is, hogy a kétfaktoros hitelesítést különféle eszközökkel valósítsák meg. Például az e-mail szolgáltató kódot generálhat szöveges vagy hanghívás útján. Ez lehetővé teszi a felhasználók számára, hogy biztonsági kulcsot helyezzenek be egy USB-portba. Kétfaktoros hitelesítéssel az e-mail szolgáltató további biztonsági szintet kínál a felhasználóknak.

Példa: A behajtási társaság lehetővé teszi behajtóinak, hogy otthon dolgozhassanak. A társaság hálózatához való hozzáféréshez, amely az adósokról szóló pénzügyi információk táblázatait tartalmazza, a vállalat megköveteli az alkalmazottaktól, hogy jelentkezzenek be egy virtuális magánhálózatba, amelyet erős jelszó és egy hat másodpercenként véletlenszerű számokat generáló kulcstartó véd. Azáltal, hogy többtényezős hitelesítéssel biztosította a távoli hozzáférést a hálózathoz, a vállalat továbbfejlesztette hitelesítési eljárásait.

Védelem a hitelesítés megkerülése ellen.

A hackerek kitartó csoport. Ha nem tudnak bejutni a főbejáraton, megpróbálnak más virtuális ajtókat és ablakokat kipróbálni, hogy nincs-e nyitva egy másik hozzáférési pont. Például egyszerűen átugorhatja a bejelentkezési oldalt, és közvetlenül egy olyan hálózathoz vagy webalkalmazáshoz juthat, amely állítólag csak akkor érhető el, ha a felhasználó teljesítette a hálózat egyéb hitelesítési eljárásait. Az ésszerű megoldás az, hogy megvédjük a hitelesítés megkerülésének sérülékenységeitől, és csak olyan hitelesítési ponton keresztül engedélyezzük a belépést, amely lehetővé teszi a vállalat számára, hogy szorosan figyelje, ki próbál bejutni.

Példa: A súlycsökkentő klinikának van egy nyilvánosan elérhető weblapja, amely leírja szolgáltatásait. Ezen az oldalon egy bejelentkezési gomb is található, amely lehetővé teszi a meglévő tagok számára, hogy beírják felhasználónevüket és jelszavukat egy speciális, csak „Tagok” portál eléréséhez. Miután sikeresen bejelentkeztek a „Csak tagok” portálra, a tagok más állítólag korlátozott oldalakra navigálhatnak, beleértve a személyre szabott „Haladás nyomon követése” oldalt, ahol megadhatják súlyukat, testzsírukat, pulzusukat, kedvenc futási útvonalukat stb. Ha azonban egy személy ismeri a tag „Haladás követése” oldalának URL-jét, akkor a felhasználó kihagyhatja a bejelentkezési oldalt, és egyszerűen beírhatja az URL-t a címsorba. Ez lehetővé teszi a felhasználó számára, hogy felhasználónevet vagy jelszót megadva megtekintse a tag oldalán található információkat. A biztonságosabb megoldás az, hogy a fogyókúrás klinika biztosítja, hogy az embereknek meg kell adniuk a bejelentkezési adatokat, mielőtt hozzáférnének a „Csak tagok” portál bármely részéhez.

Az üzenet a vállalkozások számára: Gondolja át hitelesítési eljárásait, hogy segítsen megvédeni a hálózaton található érzékeny információkat.

Hozzászólások

wll válaszolt: 2018. szeptember 30. 02:27 Permalink

Hogyan fektethet be a Vanguard a fiókomba 350 ezer dollárral, mivel nem teszek hozzá még egy biztonsági szintet a hozzáférésemhez, és mégis vállalnom kell, hogy ártalmatlannak tartom őket MINDEN veszteségért? A már bevezetett biztonsági intézkedések, például a komplex bejelentkezés és a jelszavak (több mint 12 karakter, nagy/kis betűk, speciális karakterek, nem mindennapi számok, mind a bejelentkezéshez, mind a jelszavakhoz, a többszörös és a biztonsági kérdésekhez, a hangegyeztetéshez. És most biztonságot akarnak/követelnek) kódok. azzal a megállapodással, hogy továbbra is ártalmatlannak tartják őket az esetleges veszteségekért. Ez nem tűnik igazságosnak. mi az FTC álláspontja. Olyan, mintha a részvényeseknek NINCS joguk a véget nem érő követelésekhez.

A vendég 2020 február 29-én 14:36 válaszolt Permalink

Ugyanazon a számon keresztül engedélyem nélkül válaszolnak a szövegeimre

Új megjegyzés hozzáadása

Adatvédelmi törvény nyilatkozata

Ön dönti el, hogy benyújt-e megjegyzést. Ha mégis, akkor létre kell hoznia egy felhasználónevet, különben nem tesszük közzé a megjegyzését. A Szövetségi Kereskedelmi Bizottság törvénye engedélyezi ezt az információgyűjtést az online megjegyzések kezelése céljából. A megjegyzések és a felhasználónevek a Szövetségi Kereskedelmi Bizottság (FTC) nyilvános nyilvántartási rendszerének (PDF), valamint a felhasználói nevek az FTC számítógépes felhasználói nyilvántartási rendszerének (PDF) is részét képezik. Rendszeresen felhasználhatjuk ezeket a nyilvántartásokat, az FTC adatvédelmi törvény rendszerének közleményeiben leírtak szerint. Ha többet szeretne tudni arról, hogy az FTC hogyan kezeli az általunk gyűjtött információkat, olvassa el adatvédelmi irányelveinket.