W tym tygodniu skaczemy trochę dookoła i zagłębiamy się w Krok 5 wytycznych Small Business Administration dotyczących obrony firmy przed zagrożeniami cybernetycznymi – Używaj silnych haseł i często je zmieniaj, aby chronić się przed zagrożeniami zewnętrznymi i wewnętrznymi.
Hasła są jak niektórzy politycy. Mogą wyglądać na skomplikowane i pracowite, ale w rzeczywistości są tylko tymi samymi zmęczonymi pomysłami z nowym rokiem i dowolną liczbą „!” doczepionych na końcu.
#P@ssw0rd2019!!!
Niestety, hasło, z jego nieodłącznymi wadami i zobowiązaniami, jest często jedną cienką linią ochrony między użytkownikami, ich danymi i Internetem pełnym cyberprzestępców. To nie jest sprawiedliwe, to nie jest w porządku, a lukrowane spojrzenie, które otrzymasz od swoich użytkowników, gdy powiesz im o najnowszych „wymaganiach dotyczących złożonych haseł”, które wdrażasz, dostarczy niczego nie podejrzewającym administratorom twardej prawdy:
Nieważne, ile cyfr każesz im używać, nieważne, ile znaków specjalnych jest wymaganych, i nieważne, jak często każesz im je zmieniać, bezpieczne hasło – częściej niż nie – nie jest.
Ta jedna szalona rzecz związana z hasłem, którą robisz, a która sprawia, że Twój CISO płacze
Prawdopodobnie najczęstszym problemem związanym z bezpieczeństwem haseł jest to, że w miarę jak nasze miejsce pracy i życie stają się coraz bardziej cyfrowe, odkrywamy, że musimy pamiętać coraz więcej haseł tylko po to, aby utrzymać dostęp do naszych osobistych informacji.
Potrzebujesz dokonać płatności kartą kredytową lub sprawdzić stan konta? Potrzebujesz hasła.
Masz więcej niż jedną kartę kredytową? Potrzebujesz wielu haseł.
Konto bankowe? Hasło.
Potrzebujesz nowych pomysłów z Pinteresta? PASSWORD.
W rzeczywistości trend „przeciążenia online” pogłębia się, ponieważ przeciętny konsument w USA posiada ponad 100 unikalnych kont powiązanych z jednym adresem e-mail. Oczywiście, każde konto musi być zabezpieczone, co oznacza, że każde konto potrzebuje hasła – i lepiej, żeby to hasło było złożone. I lepiej, żebyś go nie zapomniał, bo inaczej wyślemy na Ciebie naszego przyjaciela. Będziemy zadawać Ci pytania o nazwisko panieńskie Twojej matki i o to, kto był Twoim ulubionym nauczycielem w szkole podstawowej – tworząc w ten sposób więcej rzeczy do zapamiętania i (przewrotnie) więcej rzeczy, które możemy nieumyślnie ujawnić cyberprzestępcom.
To przeciążenie prowadzi ludzi do robienia głupich rzeczy – a każda z tych głupich rzeczy tworzy luki w zabezpieczeniach, które narażają użytkowników i dane biznesowe na ryzyko. Oto tylko kilka rzeczy, które użytkownicy robią codziennie … a mówiąc „użytkownicy”, mam na myśli „nas wszystkich.”
- Coraz częściej używamy tego samego hasła.
- Gdy nie używamy tego samego hasła, używamy prostych przyrostów, aby „oszukać” złożone algorytmy (hasło1, hasło2, hasło3 …).
- Nie jesteśmy szczególnie bystrzy w wymyślaniu nowych haseł – a kiedy jesteśmy, zapominamy je.
- Piszemy hasła na papierze – nawet przyklejamy je do monitorów.
- Przechowujemy je w pliku tekstowym – w czystym tekście – na Dropboxie lub Google Drive.
Wznawianie haseł jest być może jednym z najbardziej niepokojących trendów związanych z przeciążeniem kont online. Po tym wszystkim, jeśli cyberprzestępca narusza jedno konto i dopasowuje złamane hasło do adresu e-mail, jest to dla nich niezwykle proste ćwiczenie, aby wypróbować tę kombinację na dziesiątkach, a nawet setkach kont online, aż znajdą to, czego szukają. Co gorsza, mogą zabrać te dane uwierzytelniające i sprzedać je innym przestępcom, którzy spędzają swój czas na przeczesywaniu metadanych dotyczących tego, kim jesteśmy i jak żyjemy, co prowadzi do bardziej złożonych przypadków utraty tożsamości, które zagrażają życiu i środkom utrzymania.
Co więc Dumbledore ma z tym wspólnego?
Po pierwsze, w świecie coraz bardziej złożonych wymogów bezpieczeństwa, tradycyjna kombinacja nazwy użytkownika i hasła oparta na tekście po prostu nie wystarcza. Nowsze technologie, takie jak wieloczynnikowe uwierzytelnianie przy użyciu kart inteligentnych lub biometrii, szybko zaczną stawać się normą – tworząc nowe i coraz zabawniejsze sposoby, aby uczynić cały proces jeszcze bardziej żmudnym i trudnym! Jest po prostu zbyt wiele części naszego życia, do których chcemy mieć dostęp online, a dane są po prostu zbyt wrażliwe, aby zaufać zawodnej ludzkiej pamięci i złym politycznym metodologiom ochrony haseł.
W międzyczasie-podczas gdy utknęliśmy z zawodną ludzką pamięcią jako naszym głównym systemem bezpieczeństwa-wiedza to potęga. Współpracuj z pracownikami i menedżerami, aby nauczyć ich, dlaczego silne hasła są ważne i dlaczego – nawet dziś – konieczność regularnej zmiany haseł jest nadal koniecznym (choć irytującym) wymogiem. Ważne jest, aby pokazać użytkownikom, jak niebezpieczne mogą być złe praktyki związane z hasłami. Pokaż, jak jeden naruszone dane uwierzytelniające mogą kaskadowo przez ich życie, rujnując salda bankowe, niszcząc ratingi kredytowe, i otwierając je na problemy prawne i odpowiedzialności.
Podczas gdy straszysz ich z tej rzeczywistości, skorzystaj z okazji, aby nauczyć ich czegoś o dobrych praktykach bezpieczeństwa dla ich zachowania online. Pokaż im, jak internetowi naciągacze i przestępcy mogą używać serwisów społecznościowych do ukradkowego farmowania ich danych osobowych za pomocą tych słynnych „quizów” na Facebooku.
Zapytają cię: „Czy chcesz wiedzieć, do jakiej postaci z Harry’ego Pottera jesteś najbardziej podobny?”. Po prostu powiedz im swój wiek, ulubiony kolor, imię swojego pierwszego zwierzaka i ulubione jedzenie.
Teraz, czy zauważyliście coś na temat informacji, których chcą? Czy kiedykolwiek zastanawiałeś się, jak twój ulubiony kolor lub imię twojego pierwszego zwierzaka może pomóc Kapeluszowi Sortującemu dowiedzieć się, do którego domu Hogwartu należysz?
Odpowiedź: Nie – ale te informacje są niezwykle przydatne dla cyberprzestępcy próbującego uzyskać dostęp do Twoich kont osobistych poprzez zhakowanie Twoich pytań bezpieczeństwa.
Silne hasła nie uratują dnia, ale pomagają zapobiegać zagrożeniom wewnętrznym
Jak zwykle, rozwiązanie jest wielowarstwowe. Silne hasła pomagają, inteligentne zachowania w sieci pomagają, dobre procesy i procedury bezpieczeństwa wzmocnione światowej klasy oprogramowaniem zabezpieczającym dla małych firm, takim jak LanScope Cat *pomagają*. Żadne rozwiązanie nie załatwi wszystkiego, ale inteligentni ludzie z dobrymi narzędziami i szkoleniami mogą sprawić, że Twoja organizacja stanie się trudniejszym celem.