Как избежать взлома: начните с пароля

Прочитано: 73 раз(а)


Если вы введете термин «кибератака на пароль» в Новости Google, результаты покажут, насколько часто киберпреступники получают доступ к важным данным, принадлежащим компаниям и частным лицам. Слабые пароли — большая часть проблемы. Например, в 2023 году компания Nordpass, занимающаяся технологической безопасностью, сообщила , что «123456» был самым распространенным паролем в Нигерии и вторым по распространенности паролем во всем мире.

Тембекиле Маяисе — специалист и исследователь в области кибербезопасности . The Conversation Africa попросила ее рассказать, как работодатели и сотрудники могут повысить безопасность своих паролей.

Почему безопасность пароля так важна?

Всплеск кибератак, приводящих к взлому систем и утечкам данных, заставил пересмотреть стратегии контроля доступа. Вопрос сместился с того, будут ли происходить кибератаки, на вопрос, когда и как они произойдут.

Пароли и имена пользователей остаются ключевой точкой уязвимости, поскольку они по-прежнему используются для доступа и аутентификации. Слишком много людей используют слабые и повторяющиеся пароли.

В отчете компании Sophos, занимающейся кибербезопасностью, говорится , что «количество кибератак на предприятия в Южной Африке, Кении и Замбии увеличилось на 76% в 2023 году». Это обходится огромной ценой.

Ежегодно различные источники публикуют списки наиболее часто используемых паролей. Исследования NordPass часто подчеркивают предсказуемые варианты выбора, такие как «123456», «admin», «12345678» и «пароль».

Эти пароли могут быть взломаны менее чем за минуту высококвалифицированными хакерами и людьми с базовыми хакерскими навыками. Конфиденциальная информация затем подвергается краже, удалению или фальсификации. Инструменты искусственного интеллекта упрощают взлом.

В некоторых организациях срок действия паролей никогда не истекает, что создает возможности для несанкционированного доступа. Во многих случаях раскрытие паролей приводит к краже личных данных в Интернете . Функции сохранения паролей, такие как веб-сайты, предлагающие автоматическое сохранение при создании новой учетной записи, также не являются безупречным решением. Несмотря на удобство, эти платформы создают риск раскрытия учетных данных.

Что компании могут сделать по-другому?

Политика паролей и соответствующие стандарты должны быть разработаны и внедрены для достижения целей кибербезопасности компании. Как это сделать, зависит от организации и вида бизнеса. Например, финансовые учреждения и компании, выпускающие кредитные карты, могут счесть Стандарт безопасности данных индустрии платежных карт наиболее подходящим.

Другим могут оказаться полезными рекомендации Национального института стандартов и технологий США или стандарты безопасности ISO/IEC 27001. Эти стандарты используются во всем мире.

Компании должны гарантировать, что сотрудники полностью информированы о политиках и процедурах, связанных с использованием паролей, и понимают свои обязанности. Поэтому им следует:

  • проводить регулярные информационные кампании для продвижения безопасных методов использования паролей и устранения потенциальных угроз паролям.
  • следуйте передовым стандартам безопасности для управления учетными записями пользователей и контроля паролей.
  • включить измерители надежности пароля, чтобы помочь пользователям создавать более безопасные пароли.
  • рассмотрите возможность внедрения многофакторной аутентификации, которая требует двух или более доказательств для аутентификации пользователя, например пароля и распознавания лица или сетчатки глаза.
  • убедитесь, что файлы паролей зашифрованы
  • проводить регулярные проверки для мониторинга и обеспечения соблюдения политик и стандартов паролей.

А как насчет частных лиц?

Люди могут повысить свою безопасность в Интернете — как на работе, так и в личной жизни — сохраняя бдительность и информированность о последних угрозах, которые могут поставить под угрозу безопасность паролей. В организационных настройках вам следует:

  • знать и соблюдать организационные политики и стандарты для безопасного использования паролей
  • участвовать в информационных и обучающих семинарах
  • сообщайте о любых подозрительных инцидентах безопасности в службу поддержки ИКТ или следуйте процессу управления инцидентами вашей организации.
  • храните свои учетные данные в безопасности и сохранности
  • выйдите из системы после каждого сеанса, особенно если вы используете общий компьютер
  • используйте надежные пароли, которые вряд ли будут угаданы злоумышленниками
  • избегайте использования последовательных символов или повторяющихся фраз для паролей, переработанных или легко угадываемых паролей, таких как слова из словаря.
  • проверьте, нет ли выбранного пароля в списке взломанных или распространенных паролей
  • меняйте свой пароль всякий раз, когда есть подозрение на компрометацию
  • используйте инструменты менеджера зашифрованных паролей для безопасного хранения паролей.

Какие пароли самые большие «нет-нет»?

Не используйте простые или легко угадываемые пароли, например слова из обычных словарей. Пользователям следует стремиться к использованию пароля длиной не менее 12 символов, комбинации буквенно-цифровых (букв и цифр) и специальных символов, а также нижнего и верхнего регистра (строчных и заглавных букв) и сохранять его конфиденциальность.

Также важно не использовать повторно пароли для разных учетных записей.

Не используйте автозаполнение и не сохраняйте пароли на веб-сайтах, особенно на общих компьютерах.

Не делитесь паролями и не раскрывайте их другим людям, особенно коллегам на рабочем месте. Если вам необходимо поделиться паролем, убедитесь, что он утвержден менеджером и что данные задокументированы для целей аудита.

Никогда не сообщайте данные пароля по телефону лицам, выдающим себя за ИТ-специалистов, без надлежащей проверки.

Некоторые из способов проверить подлинность звонка следующие:

  • подтвердите номер билета, на который ссылается звонящий
  • попросите звонящего отправить официальное электронное письмо на ваш аккаунт, особенно если у вас нет проблем с доступом к компьютеру
  • если используется внутренний номер телефона, проверьте подлинность звонка
  • запросить у звонящего идентификационные данные, такие как имя, местонахождение офиса, отдел и линии подчинения.

Что такое пароли? Исследователь кибербезопасности объясняет, как вы можете использовать свой телефон, чтобы пароли остались в прошлом.



Новости партнеров