Χρησιμοποιήστε το με δική σας ευθύνη

Χρησιμοποιήστε το με δική σας ευθύνη

Dezember 17, 2022 0 Von admin
Ένας κακός κωδικός γραμμένος σε ένα χαρτί με μαρκαδόρο.
Εικόνα: Vitalii Vodolazskyi/Adobe Stock

Μέχρι τώρα, όλοι θα πρέπει να χρησιμοποιούν έναν κωδικό πρόσβασης που μοιάζει με ασυναρτησίες — κάτι σαν s;3HiMom!&%k#$l. Στην πραγματικότητα, δεδομένης της αυξανόμενης πολυπλοκότητας των επιτιθέμενων, αυτό μπορεί σύντομα να μείνει λίγους χαρακτήρες για να παρέχει πραγματική ασφάλεια.

ΒΛΕΠΩ: Παραβίαση κωδικού πρόσβασης: Γιατί η ποπ κουλτούρα και οι κωδικοί πρόσβασης δεν συνδυάζονται (δωρεάν PDF) (TechRepublic)

Με εργαλεία όπως οι ψεκαστήρες κωδικών πρόσβασης που είναι εύκολα διαθέσιμα σε κακοποιούς, ήρθε η ώρα να εξετάσετε τι δεν πρέπει να χρησιμοποιείτε εσείς και η εταιρεία σας ως κλειδί για τους λογαριασμούς σας και το απόθεμα δεδομένων του οργανισμού σας.

Πηδάω σε:

Οι πιο συνηθισμένοι κωδικοί πρόσβασης στον κόσμο

Ευτυχώς, διαχειριστής κωδικών πρόσβασης NordPass είναι έξω με την ετήσια κατάταξη των 200 πιο συνηθισμένων κωδικών πρόσβασης στον κόσμο. Το φετινό μάθημα είναι, το μαντέψατε, «κωδικός πρόσβασης». Ο νικητής του 2021 και του 2020 ξεπερνά το „123456“. Αυτό μπορεί να φαίνεται κακό, αλλά υπάρχει κάποια βελτίωση: Το 2019, ήταν „12345“.

ΒΛΕΠΩ: Η ακατάλληλη χρήση των διαχειριστών κωδικών πρόσβασης αφήνει τους ανθρώπους ευάλωτους σε κλοπή ταυτότητας (TechRepublic)

Η λίστα NordPass αναλύει τους κωδικούς πρόσβασης ανά χώρα, φύλο και πράγματα όπως ο μέσος χρόνος που χρειάζεται για να τους σπάσει. Στις ΗΠΑ, ο πιο συνηθισμένος κωδικός πρόσβασης για το 2022 ήταν ο «επισκέπτης» με τον «κωδικό πρόσβασης» να έρχεται στην τέταρτη θέση. Τα „12345“ και „123456“ είναι επίσης στη λίστα.

Επιπλέον, η κατάταξη περιλαμβάνει μια εκτίμηση του χρόνου που θα χρειαζόταν για να σπάσουν οι περισσότεροι από αυτούς τους κωδικούς, ο οποίος ήταν κάτω από ένα δευτερόλεπτο. Ο αριθμός εννέα στην παγκόσμια λίστα, „col123456“, θα χρειαζόταν 11 δευτερόλεπτα για να χακάρει. Σε όλο τον κόσμο, οι άλλοι πιο χρησιμοποιούμενοι κωδικοί πρόσβασης περιελάμβαναν „qwerty“, „guest“ και „111111“ (Εικόνα Α).

Εικόνα Α

Λήψη οθόνης της παγκόσμιας κατάταξης κωδικού πρόσβασης.
Εικόνα: NordPass. Λήψη οθόνης της παγκόσμιας κατάταξης κωδικού πρόσβασης.

Πώς το NordPass διεξήγαγε τη μελέτη

Ο Karolis Arbaciauskas, επικεφαλής επιχειρηματικής ανάπτυξης στο NordPass, εξήγησε ότι η εταιρεία συνεργάστηκε με ανεξάρτητους ερευνητές, οι οποίοι βρήκαν μια βάση δεδομένων μεγέθους 3 TB γεμάτη κωδικούς πρόσβασης που διέρρευσαν, τους οποίους περιέγραψε ως «μια σταθερή βάση για να αξιολογήσουμε ποιοι κωδικοί πρόσβασης βάζουν τους ανθρώπους κάθε χρόνο. σε κίνδυνο διαδικτυακά».

Είπε ότι ο «κωδικός πρόσβασης» βρέθηκε πάνω από 4,9 εκατομμύρια φορές στη βάση δεδομένων και ότι σε σύγκριση με τα δεδομένα του 2021, το 73% από τους 200 πιο συνηθισμένους κωδικούς πρόσβασης το 2022 παραμένουν οι ίδιοι.

«Δεδομένου ότι γνωρίζουμε ότι αυτοί οι κωδικοί πρόσβασης εμφανίστηκαν ανάμεσα σε αυτούς που διέρρευσαν, θα αποφεύγαμε πολλά περιστατικά ασφάλειας στον κυβερνοχώρο εάν οι άνθρωποι σταματούσαν να τους χρησιμοποιούν», είπε ο Arbaciauskas.

Η κακή υγιεινή του κωδικού πρόσβασης είναι ένα ευρέως διαδεδομένο πρόβλημα

Ο Carl Kriebel, μέτοχος των συμβουλευτικών υπηρεσιών κυβερνοασφάλειας στην παγκόσμια λογιστική εταιρεία Schneider Downs, είπε ότι οι κακοί κωδικοί πρόσβασης είναι πράγματι ένα πανταχού παρόν πρόβλημα.

«Στις 75 περίπου δοκιμές διείσδυσης που κάνουμε ετησίως, οι κωδικοί πρόσβασης είναι σταθερά ο αδύναμος κρίκος στην αλυσίδα τις περισσότερες φορές», είπε, προσθέτοντας ότι παρόλο που πρωτόκολλα όπως τα lockouts για τηγανητά/αποτυχία μπορεί απλώς να παρατείνουν τον χρόνο που χρειάζονται οι εισβολείς για να διεισδύσουν , αυτό κάνει τη διαφορά.

«Όπως όλοι οι άλλοι, οι επιτιθέμενοι μετρούν το ROI, συμπεριλαμβανομένου του χρόνου», πρόσθεσε ο Kriebel.

Η έτοιμη πρόσβαση σε πράγματα όπως η τεχνολογία ψεκασμού κωδικών πρόσβασης μειώνει αυτόν τον χρόνο σχεδόν στο μηδέν για λογαριασμούς με κοινούς κωδικούς και εύκολα μαντέψιμους κωδικούς πρόσβασης, επομένως η αποκατάσταση αυτού του ζητήματος σε ένα ίδρυμα είναι η πρώτη προσπάθεια, σημείωσε.

ΒΛΕΠΩ: Τα καλύτερα εργαλεία δοκιμών διείσδυσης: Οδηγός αγοραστών 2022 (TechRepublic)

«Εάν μπορούμε γρήγορα να ψεκάσουμε τον κωδικό πρόσβασης, τότε προφανώς υπάρχει πρόβλημα πολιτικής», είπε ο Kriebel. «Κάθε οργανισμός θα πρέπει να δοκιμάσει/αποτύχει και στη συνέχεια να κλειδώσει τον κωδικό πρόσβασης — ακόμη και για μία ώρα».

Αυτόν τον Μάιο, το NordPass παρουσίασε μια μελέτη για το κωδικούς πρόσβασης που χρησιμοποιούν τα στελέχη επιχειρήσεων για να εξασφαλίσει τους λογαριασμούς τους, και πέρυσι, οι ερευνητές του ερεύνησαν διέρρευσαν κωδικοί πρόσβασης από εταιρείες του Fortune 500.

Ασφαλίστε τα δεδομένα σας σύμφωνα με αυτές τις οδηγίες

Σε αυτό το σημείο λίγες εταιρείες θα πρέπει να χρησιμοποιούν έλεγχο ταυτότητας ενός παράγοντα.

«Ενθαρρύνουμε ιδιαίτερα τη δυνατότητα πολλαπλών παραγόντων απομακρυσμένης πρόσβασης», είπε ο Kriebel. „Εάν όχι, ή εάν ένας οργανισμός έχει ένα δίκτυο ευρείας βάσης όπου οι εφαρμογές είναι πολύπλευρες με πολλά σημεία εισόδου, η σύστασή μας είναι η θέσπιση μιας τυποποιημένης πολιτικής για τον καθορισμό κωδικού πρόσβασης με πολύ υψηλότερο όριο.“

Πρόσθετες προτάσεις ασφαλείας για τον οργανισμό σας

  • Αλλάξτε τους κωδικούς πρόσβασης, περιστρέψτε τους και επαναφέρετέ τους σε κανονικό ρυθμό.
  • Χρησιμοποιήστε φράσεις πρόσβασης — όχι κωδικούς πρόσβασης.
  • Οι εταιρείες θα πρέπει να συζητήσουν τον κίνδυνο σχετικά με τον τρόπο με τον οποίο ο οργανισμός πρέπει να υιοθετήσει πολιτικές σχετικά με τους κωδικούς πρόσβασης. μην ρίξετε μόνο το βάρος στον CIO.
  • Εφαρμογή μαύρων λιστών κωδικών πρόσβασης.
  • Κάθε εταιρεία θα πρέπει να έχει κάποια μορφή κλειδώματος με κωδικό πρόσβασης δοκιμής/αποτυχίας.

Οκτώ χαρακτήρες είναι επτά πολύ λίγοι

Ο Kriebel είπε ότι τα ιδρύματα πρέπει να υποστηρίξουν περίπλοκους κωδικούς πρόσβασης — όχι μόνο αυξάνοντας τον συνδυασμό χαρακτήρων, συμβόλων και αριθμών, αλλά αυξάνοντας επίσης τον αριθμό χαρακτήρων. Πολλοί άνθρωποι εξακολουθούν να χρησιμοποιούν μόνο οκτώ χαρακτήρες, αλλά αυτό δεν είναι αρκετά κοντά, είπε.

Ενώ συνηγορεί υπέρ της εφαρμογής κωδικών πρόσβασης 15 χαρακτήρων, ο Kriebel παραδέχεται ότι η επισημοποίηση ισχυρότερων πολιτικών απαιτεί ένα ορισμένο βαθμό οργανωτικού σθένους, επειδή οι εταιρείες δεν θέλουν να είναι επιβαρυντικές σε σημείο που οι άνθρωποι να απωθούνται.

«Ακόμη και η απλή προσθήκη χαρακτήρων καθιστά εκθετικά πιο δύσκολο να χακάρουμε τους κωδικούς πρόσβασης», πρόσθεσε ο Kriebel.

Οι φράσεις πρόσβασης είναι καλύτερες από τη σούπα αλφαβήτου

Ακόμα καλύτερα: Οι φράσεις πρόσβασης, ακόμη και προφανώς προφανείς, είναι εξαιρετικά δύσκολο να χακαριστούν. Ο Kriebel είπε ότι ακόμη και με τα εργαλεία που έχουν αυτή τη στιγμή οι χάκερ στη διάθεσή τους, ακόμη και κάτι τόσο απλό όπως «η Μαίρη είχε ένα μικρό αρνάκι» είναι δύσκολο να σπάσει.

«Αν κάνετε μια πολύ απλή αλλαγή σε αυτήν τη φράση, αφαιρώντας το διάστημα μεταξύ «α» και «λίγο», για παράδειγμα, η φράση πρόσβασης γίνεται σχεδόν αδύνατο να σπάσει», είπε ο Κρίμπελ.

Ο Kriebel συνιστά στις εταιρείες να κινηθούν για να αποκτήσουν μαύρες λίστες κωδικών πρόσβασης και να κάνουν την απαγόρευση της χρήσης τους μέρος της πολιτικής ασφαλείας τους, κάτι που είναι μια πιο πρόσφατη εξέλιξη στις αμυντικές τακτικές. Επιπλέον, οι οργανισμοί θα πρέπει να βεβαιωθούν ότι αυτές οι λίστες δεν περιέχουν απλώς γενικούς, κοινούς κωδικούς πρόσβασης, αλλά και αυτούς με γνωστικές συνδέσεις γύρω από προφανή πράγματα όπως η τοποθεσία μιας εταιρείας.

Ο Arbaciauskas είπε ότι μια προσέγγιση πολλαπλών βημάτων είναι το κλειδί για την οργανωτική ασφάλεια. Οι επιχειρήσεις πρέπει να καθορίζουν πολιτικές κυβερνοασφάλειας στον οργανισμό τους, να έχουν ειδικούς υπεύθυνους για την εφαρμογή τους και να ενημερώνουν τους υπαλλήλους σχετικά με τους κινδύνους που αντιμετωπίζει η κυβερνοασφάλεια. Οι εταιρείες χρειάζονται επίσης σύγχρονα τεχνολογικά εργαλεία για να βοηθήσουν στην ασφάλεια των λογαριασμών.

«Οι διαχειριστές κωδικών πρόσβασης επιτρέπουν όχι μόνο την ασφαλή αποθήκευση κωδικού πρόσβασης αλλά και την κοινή χρήση μεταξύ των εργαζομένων», είπε ο Arbaciauskas.

Τα εργαλεία δημιουργίας κωδικών πρόσβασης που προσφέρονται από πολλούς διαχειριστές κωδικών πρόσβασης δημιουργούν αυτόματα ισχυρούς και μοναδικούς κωδικούς πρόσβασης που αποτελούνται από τυχαίους συνδυασμούς γραμμάτων, αριθμών και συμβόλων.

«Με τη χρήση διαχειριστών κωδικών πρόσβασης, οι εταιρείες αποτρέπουν τον εαυτό τους από ανθρώπινα λάθη — τη δημιουργία εύκολων κωδικών πρόσβασης και την επαναχρησιμοποίησή τους», πρόσθεσε ο Arbaciauskas.

Για να μάθετε βέλτιστες πρακτικές για την ενίσχυση των πρωτοκόλλων προστασίας με κωδικό πρόσβασης, κάντε λήψη της Πολιτικής διαχείρισης κωδικών πρόσβασης (TechRepublic Premium).