Ezen a héten egy kicsit körbeugrunk, és belemerülünk a Kisvállalkozói Adminisztráció 5. lépésébe, amely a kiberfenyegetések elleni védekezésre vonatkozik – Használjon erős jelszavakat, és gyakran változtassa meg őket a külső és belső fenyegetések elleni védelem érdekében.
A jelszavak olyanok, mint néhány politikus. Lehet, hogy összetettnek és szorgalmasnak tűnnek, de a valóságban csak ugyanazok a megfáradt ötletek, új évszámmal és tetszőleges számú “!”-val a végére ragasztva.
#P@ssw0rd2019!!!
Sajnos a jelszó, a benne rejlő hibákkal és kötelezettségekkel együtt, gyakran az egyetlen vékony védelmi vonal a felhasználók, az adataik és a kiberbűnözőkkel teli internet között. Ez nem igazságos, ez nem helyes, és az a mázas tekintet, amit a felhasználóktól kapsz, amikor elmondod nekik a legújabb “összetett jelszó követelményeket”, amit bevezetsz, a gyanútlan adminoknak kemény igazságot fog szolgáltatni:
Nem számít, hogy hány számjegyet kell használniuk, nem számít, hogy hány speciális karaktert kell használniuk, és nem számít, hogy milyen gyakran kell megváltoztatniuk, a biztonságos jelszó – többnyire – nem az.
Az az egy őrült jelszavas dolog, amit csinál, és amitől a CISO sírva fakad
A jelszavak biztonságával kapcsolatos leggyakoribb probléma talán az, hogy mivel a munkahelyünk és az életünk egyre digitálisabbá vált, azt tapasztaljuk, hogy egyre több jelszót kell megjegyeznünk csak azért, hogy a saját személyes adatainkhoz való hozzáférést fenntartsuk.
Hitelkártyával szeretne fizetni vagy ellenőrizni az egyenlegét? Szüksége van egy jelszóra.
Egynél több hitelkártyája van? Több jelszóra van szüksége.
Bankszámla? Jelszó.
Új ötletekre van szüksége a Pinterestről? PASSWORD.
Tény, hogy az “online túlterheltség” trendje egyre rosszabb, mivel az átlagos amerikai fogyasztónak több mint 100 egyedi fiókja van egyetlen e-mail címhez társítva. Természetesen minden fiókot védeni kell, ami azt jelenti, hogy minden fióknak jelszóra van szüksége – és ez a jelszó jobb, ha összetett. És jobb, ha nem felejted el, különben rád uszítjuk a barátunkat. Kérdéseket fogunk feltenni az édesanyja leánykori nevéről és arról, hogy ki volt a kedvenc általános iskolai tanára – így még több dolgot kell megjegyeznie, és (perverz módon) még több dolgot tudunk véletlenül kiszolgáltatni a kiberbűnözőknek.
Ez a túlterhelés arra készteti az embereket, hogy ostoba dolgokat tegyenek – és minden ilyen ostoba dolog biztonsági réseket hoz létre, amelyek veszélyeztetik a felhasználókat és az üzleti adatokat. Íme csak néhány dolog, amit a felhasználók nap mint nap csinálnak … és a “felhasználók” alatt valójában azt értem, hogy “mindannyian.”
- Egyre gyakrabban használjuk ugyanazt a jelszót.
- Amikor nem ugyanazt a jelszót használjuk, egyszerű lépésekkel “becsapjuk” az összetett algoritmusokat (password1, password2, password3 …).
- Nem vagyunk különösebben ügyesek az új jelszavak kitalálásában – és ha mégis, akkor elfelejtjük őket.
- A jelszavakat papírra írjuk – még a monitorunkra is felragasztjuk őket.
- Szövegfájlban tartjuk őket – egyszerű szövegben – a Dropboxon vagy a Google Drive-on.
A jelszavak újrafelhasználása talán az egyik legaggasztóbb trend, amely az online fiókok túlterheltségével jár. Végül is, ha egy kiberbűnöző feltör egy fiókot, és a feltört jelszót egy e-mail címhez illeszti, hihetetlenül egyszerű feladat számukra, hogy ezt a kombinációt több tucat vagy akár több száz online fiókon próbálják ki, amíg meg nem találják, amit keresnek. Ami még rosszabb, hogy ezeket a hitelesítő adatokat magukhoz vehetik, és eladhatják más bűnözőknek, akik azzal töltik idejüket, hogy átfésülik a metaadatokat arról, hogy kik vagyunk és hogyan élünk, ami a személyazonosság összetettebb, életeket és megélhetést veszélyeztető elvesztéséhez vezet.
Szóval, mi köze van ehhez Dumbledore-nak?
Először is, az egyre összetettebb biztonsági követelmények világában a hagyományos szöveges felhasználónév és jelszó kombináció egyszerűen nem elég. Az újabb technológiák, mint például az intelligens kártyákat vagy biometrikus adatokat használó többfaktoros hitelesítés, gyorsan kezdenek normává válni – új és egyre szórakoztatóbb módokat teremtve arra, hogy az egész folyamatot még fárasztóbbá és nehezebbé tegyük! Egyszerűen túl sok olyan része van az életünknek, amelyhez online szeretnénk hozzáférni, és az adatok egyszerűen túl érzékenyek ahhoz, hogy a hibás emberi memóriára és a rossz politikusok jelszóvédelmi módszereire bízzuk magunkat.
Addig is – amíg a legfőbb biztonsági rendszerünk a hibás emberi memória marad – a tudás hatalom. Dolgozzon együtt alkalmazottaival és vezetőivel, hogy megtanítsa nekik, miért fontosak az erős jelszavak, és miért – még ma is – szükséges (bár bosszantó) követelmény a jelszavak rendszeres megváltoztatása. Fontos, hogy bemutassa a felhasználóknak, milyen veszélyes lehet a rossz jelszóhasználat. Mutassa meg, hogy egy-egy kompromittált hitelesítő adat hogyan vonulhat végig az életükön, tönkretéve a bankszámlaegyenlegüket, tönkretéve a hitelképességüket, és megnyitva őket a jogi problémák és a felelősségvállalás előtt.
Mialatt ezzel a valósággal ijesztgeti őket, ragadja meg az alkalmat, hogy megtanítsa őket valamire a helyes biztonsági gyakorlatokról az online viselkedésükkel kapcsolatban. Mutassa meg nekik, hogy az internetes árusok és bűnözők hogyan használhatják a közösségi oldalakat arra, hogy a híres Facebook “kvízek” segítségével lopakodva megműveljék a személyes adataikat.
Azt fogják kérdezni, hogy “Szeretnéd tudni, melyik Harry Potter karakterre hasonlítasz leginkább?”. Csak mondd meg nekik a korodat, a kedvenc színedet, az első háziállatod nevét és a kedvenc ételedet.
Most, észreveszel valamit azokból az információkból, amiket kérnek? Gondolkodtál már azon, hogy a kedvenc színed vagy az első háziállatod neve hogyan segíthet a Rendező Kalapnak kitalálni, hogy melyik Roxfort-házba tartozol?
A válasz:
Az erős jelszavak nem mentik meg a helyzetet, de segítenek megelőzni a belső fenyegetéseket
A megoldás szokás szerint többrétegű. Az erős jelszavak segítenek, az okos online viselkedés segít, a jó biztonsági folyamatok és eljárások, amelyeket az olyan világszínvonalú kisvállalati biztonsági szoftverek, mint a LanScope Cat *segítenek*. Egyetlen megoldás sem old meg mindent, de az okos emberek jó eszközökkel és képzéssel sokkal nehezebb célponttá tehetik szervezetét.