Если вы введете термин «кибератака на пароль» в Новости Google, результаты покажут, насколько часто киберпреступники получают доступ к важным данным, принадлежащим компаниям и частным лицам. Слабые пароли — большая часть проблемы. Например, в 2023 году компания Nordpass, занимающаяся технологической безопасностью, сообщила , что «123456» был самым распространенным паролем в Нигерии и вторым по распространенности паролем во всем мире.
Тембекиле Маяисе — специалист и исследователь в области кибербезопасности . The Conversation Africa попросила ее рассказать, как работодатели и сотрудники могут повысить безопасность своих паролей.
Почему безопасность пароля так важна?
Всплеск кибератак, приводящих к взлому систем и утечкам данных, заставил пересмотреть стратегии контроля доступа. Вопрос сместился с того, будут ли происходить кибератаки, на вопрос, когда и как они произойдут.
Пароли и имена пользователей остаются ключевой точкой уязвимости, поскольку они по-прежнему используются для доступа и аутентификации. Слишком много людей используют слабые и повторяющиеся пароли.
В отчете компании Sophos, занимающейся кибербезопасностью, говорится , что «количество кибератак на предприятия в Южной Африке, Кении и Замбии увеличилось на 76% в 2023 году». Это обходится огромной ценой.
Ежегодно различные источники публикуют списки наиболее часто используемых паролей. Исследования NordPass часто подчеркивают предсказуемые варианты выбора, такие как «123456», «admin», «12345678» и «пароль».
Эти пароли могут быть взломаны менее чем за минуту высококвалифицированными хакерами и людьми с базовыми хакерскими навыками. Конфиденциальная информация затем подвергается краже, удалению или фальсификации. Инструменты искусственного интеллекта упрощают взлом.
В некоторых организациях срок действия паролей никогда не истекает, что создает возможности для несанкционированного доступа. Во многих случаях раскрытие паролей приводит к краже личных данных в Интернете . Функции сохранения паролей, такие как веб-сайты, предлагающие автоматическое сохранение при создании новой учетной записи, также не являются безупречным решением. Несмотря на удобство, эти платформы создают риск раскрытия учетных данных.
Что компании могут сделать по-другому?
Политика паролей и соответствующие стандарты должны быть разработаны и внедрены для достижения целей кибербезопасности компании. Как это сделать, зависит от организации и вида бизнеса. Например, финансовые учреждения и компании, выпускающие кредитные карты, могут счесть Стандарт безопасности данных индустрии платежных карт наиболее подходящим.
Другим могут оказаться полезными рекомендации Национального института стандартов и технологий США или стандарты безопасности ISO/IEC 27001. Эти стандарты используются во всем мире.
Компании должны гарантировать, что сотрудники полностью информированы о политиках и процедурах, связанных с использованием паролей, и понимают свои обязанности. Поэтому им следует:
- проводить регулярные информационные кампании для продвижения безопасных методов использования паролей и устранения потенциальных угроз паролям.
- следуйте передовым стандартам безопасности для управления учетными записями пользователей и контроля паролей.
- включить измерители надежности пароля, чтобы помочь пользователям создавать более безопасные пароли.
- рассмотрите возможность внедрения многофакторной аутентификации, которая требует двух или более доказательств для аутентификации пользователя, например пароля и распознавания лица или сетчатки глаза.
- убедитесь, что файлы паролей зашифрованы
- проводить регулярные проверки для мониторинга и обеспечения соблюдения политик и стандартов паролей.
А как насчет частных лиц?
Люди могут повысить свою безопасность в Интернете — как на работе, так и в личной жизни — сохраняя бдительность и информированность о последних угрозах, которые могут поставить под угрозу безопасность паролей. В организационных настройках вам следует:
- знать и соблюдать организационные политики и стандарты для безопасного использования паролей
- участвовать в информационных и обучающих семинарах
- сообщайте о любых подозрительных инцидентах безопасности в службу поддержки ИКТ или следуйте процессу управления инцидентами вашей организации.
- храните свои учетные данные в безопасности и сохранности
- выйдите из системы после каждого сеанса, особенно если вы используете общий компьютер
- используйте надежные пароли, которые вряд ли будут угаданы злоумышленниками
- избегайте использования последовательных символов или повторяющихся фраз для паролей, переработанных или легко угадываемых паролей, таких как слова из словаря.
- проверьте, нет ли выбранного пароля в списке взломанных или распространенных паролей
- меняйте свой пароль всякий раз, когда есть подозрение на компрометацию
- используйте инструменты менеджера зашифрованных паролей для безопасного хранения паролей.
Какие пароли самые большие «нет-нет»?
Не используйте простые или легко угадываемые пароли, например слова из обычных словарей. Пользователям следует стремиться к использованию пароля длиной не менее 12 символов, комбинации буквенно-цифровых (букв и цифр) и специальных символов, а также нижнего и верхнего регистра (строчных и заглавных букв) и сохранять его конфиденциальность.
Также важно не использовать повторно пароли для разных учетных записей.
Не используйте автозаполнение и не сохраняйте пароли на веб-сайтах, особенно на общих компьютерах.
Не делитесь паролями и не раскрывайте их другим людям, особенно коллегам на рабочем месте. Если вам необходимо поделиться паролем, убедитесь, что он утвержден менеджером и что данные задокументированы для целей аудита.
Никогда не сообщайте данные пароля по телефону лицам, выдающим себя за ИТ-специалистов, без надлежащей проверки.
Некоторые из способов проверить подлинность звонка следующие:
- подтвердите номер билета, на который ссылается звонящий
- попросите звонящего отправить официальное электронное письмо на ваш аккаунт, особенно если у вас нет проблем с доступом к компьютеру
- если используется внутренний номер телефона, проверьте подлинность звонка
- запросить у звонящего идентификационные данные, такие как имя, местонахождение офиса, отдел и линии подчинения.