Почему МСП следует беспокоиться о паролях?
Согласно «Отчету об исследовании уязвимости данных за 2017 год» компании Verizon 81% случаев уязвимости данных являются результатом слабых или украденных паролей. Учитывая, что в открытый доступ в Интернете попало более 5 миллиардов паролей, базовая защита паролем становится неэффективной.
И если вы думаете, что в вашей организации нет ничего, что могло бы заинтересовать киберпреступников, подумайте еще раз. Для киберпреступников МСП оказываются «лакомым куском», поскольку те имеют более ценные данные и активы, чем потребители, и в то же время более уязвимы, чем крупные предприятия, которые располагают большими бюджетами на безопасность.
Подробнее
Эта проблема усугубляется растущим числом предприятий, включающих в свою ИТ-инфраструктуру «интеллектуальные» устройства. И хотя Интернет вещей (IoT) помогает им быстрее и эффективнее выполнять бизнес-операции, эти устройства часто являются уязвимыми и работают с общедоступными именами и паролями администраторов по умолчанию, что создает риск, который может привести к пагубным последствиям.
Кроме того, в новом Общем регламенте ЕС по защите данных (GDPR) говорится, что организации всех размеров должны обеспечивать безопасность своих данных путем принятия «соответствующих технических и организационных мер». Таким образом, в случае появления уязвимости и при наличии только простых и статических паролей вас может ожидать большой штраф.
Законы и регламенты, касающиеся неприкосновенности частной жизни, ужесточаются во всем мире. Недавно принятые требования в части уведомления об уязвимости национальных данных (NDB) австралийского «Закона о неприкосновенности частной жизни» и регламенты о неприкосновенности частной жизни, действующие в различных штатах США с жесткими требованиями в части уведомления об уязвимости данных, повышают стандарты для тех, кто хранит данные о резидентах этих юрисдикций.
Как злоумышленники похищают пароли?
1. К таким простым и практичным методам относится метод подсматривания через плечо, когда злоумышленники наблюдают за потенциальными жертвами в тот момент, когда те вводят свои пароли.
2. Злоумышленники также играют на «человеческих слабостях» своих жертв с помощью социальной инженерии. Профессионально сформированная онлайн-форма или электронное письмо (фишинговая атака) от, казалось бы, заслуживающего доверия отправителя, может убедить даже хорошо подготовленных пользователей раскрыть свои пароли.
3. Киберпреступники, проникшие в сеть организации, могут использовать вредоносные программы для поиска документов, содержащих пароли, или регистрации нажатий клавиш при введении паролей и отправки этой информации на свой командный сервер. Компьютерные пираты умеют также извлекать зашифрованные файлы паролей и взламывать их на устройствах, отключенных от Интернета.
4. К более изощренным методам атак относится перехват сетевого трафика устройств сотрудников, которые используются последними удаленно или в общественных местах.
5. Один из самых популярных способов взломать защиту паролем – это атака грубой силы. За короткий промежуток времени автоматизированными сценариями перебираются миллионы комбинаций паролей, пока не находится правильная. Вот почему со временем возникла необходимость делать пароли длиннее. Чем сложнее пароль, тем больше времени требуется злоумышленникам, чтобы его угадать.
*Black hat относится к хакеру, который со злым умыслом вторгается в компьютерную систему или сеть. Он может использовать уязвимости для получения финансовой выгоды; украсть или уничтожить личные данные; редактировать, прерывать или закрывать веб-страницы или сети.
Как выстроить хорошую политику паролей?
Чтобы обеспечить эффективную политику паролей в вашей организации, рекомендуется следовать определенным процедурам:
- Сотрудников необходимо обучить тому, как создать надежный пароль. »
- ИТ-отделам следует внедрить правила при разработке и применении политики паролей компании. »
- Всем организациям рекомендуется применять дополнительные защитные меры для повышения безопасности паролей во всей организации.
Что еще может сделать ваша организация для защиты своих паролей?
Чтобы лучше защитить пароли сотрудников вашей организации, рекомендуется использовать двухфакторную аутентификацию (2FA). Она проверяет личность владельца учетной записи с помощью одноразового пароля – чего-то такого, что есть у пользователя, помимо имени пользователя и пароля – чего-то такого, что пользователь знает, тем самым защищая доступ к системам компании даже в случаях утечки или кражи учетных данных.
Поскольку частыми объектами атак вредоносных программ становятся SMS и мобильные устройства, современные решения 2FA воздерживаются от использования SMS-проверки и вместо этого выбирают push-уведомления, поскольку последние более безопасны и удобны для пользователя. Для дальнейшего повышения безопасности процесса аутентификации организации могут добавлять биометрию –что-то такое, чем пользователь является, применяя многофакторную аутентификацию (MFA).
Мощная 2FA от компании ESET защищает пароли
Мобильная аутентификация в одно касание обеспечивает беспроблемную защиту ваших данных в дополнение к соблюдению необходимых требований. Она использует удобные push-уведомления для Android и iOS, имеет простое управление и быстрое развертывание в течение 10 минут. Попробуйте сейчас и посмотрите, как она работает.