Waarom is dit belangrijk voor mkb's?
Volgens het Verizon’s 2017 Data Breach Investigation Reportwordt 81% van alle datalekken veroorzaakt door zwakke of gestolen wachtwoorden. Aangezien meer dan 5 miljard wachtwoorden online zijn gelekt, is standaard wachtwoordbeveiliging niet langer doeltreffend.
En als u denkt dat uw organisatie niets bezit dat cybercriminelen interesseert, dan heeft u het mis. Mkb's zijn zeer aantrekkelijk voor cybercriminelen, omdat zij meer waardevolle data hebben dan consumenten, maar kwetsbaarder zijn dan enterprises, die grotere securitybudgetten hebben.
Lees meer
Dit probleem wordt vergroot door het toenemende aantal organisaties dat 'slimme apparaten' in hun IT-infrastructuur integreert. Hoewel het Internet of Things (IoT) hen helpt om zakelijke activiteiten sneller en soepeler te laten verlopen, zijn deze apparaten vaak kwetsbaar en worden ze gebruikt met standaard admingebruikersnamen en -wachtwoorden. Dit vormt een risico dat kan leiden tot schadelijke gevolgen.
Daarnaast stelt de nieuwe Europese Algemene Verordening Gegevensbescherming (AVG) dat organisaties van elke grootte ervoor moeten zorgen dat hun data veilig is door "passende technische en organisatorische maatregelen" te implementeren. Als er een lek plaatsvindt en er alleen simpele, statische wachtwoorden in gebruik zijn, kan er dus een flinke boete verwacht worden.
Privacywet- en regelgevingen worden wereldwijd aangescherpt. De strenge vereisten voor het rapporteren van een datalek in bijvoorbeeld Australië of verschillende Amerikaanse staten verhogen de normen voor iedereen die data bezit van inwoners van die rechtsgebieden.
Hoe stelen aanvallers wachtwoorden?
1. Simpele, real-world technieken zoals bijvoorbeeld shoulder surfing, waarbij aanvallers potentiële slachtoffers observeren terwijl zij hun wachtwoord intypen.
2. Aanvallers kunnen ook de "menselijke zwakheid" van hun slachtoffers manipuleren met behulp van social engineering. Een professioneel vormgegeven online formulier of e-mail (phishingaanval) die van een betrouwbare afzender lijkt te komen, kan zelfs getrainde gebruikers overhalen om hun wachtwoorden prijs te geven.
3. Cybercriminelen met een voet aan de grond in het netwerk van de organisatie kan malware gebruiken om te zoeken naar documenten met wachtwoorden of wachtwoorden loggen met behulp van toetsaanslagen en deze informatie doorsturen naar hun C&C-server. Black hats kunnen ook versleutelde wachtwoordbestanden stelen en offline kraken.
4. Ingewikkeldere aanvalstechnieken omvatten bijvoorbeeld het onderscheppen van het netwerkverkeer van werknemersapparaten die op afstand of in een publieke ruimte gebruikt worden.
5. Eén van de populairste manieren om wachtwoordbeveiliging te kraken is door middel van brute force. Geautomatiseerde scripts proberen in korte tijd miljoenen wachtwoordcombinaties tot de juiste is gevonden. Dit is waarom wachtwoorden door de jaren heen steeds langer moeten worden gemaakt. Hoe complexer het wachtwoord is, hoe meer tijd cybercriminelen nodig hebben om het te raden.
Hoe maakt u een goed wachtwoordbeleid?
Om te garanderen dat uw organisatie een effectief wachtwoordbeleid heeft, is het aan te raden om specifieke procedures te volgen:
- Medewerkers moeten worden getraind in het creëren van sterke wachtwoorden. »
- IT-afdelingen moeten regels implementeren bij het instellen en handhaven van een zakelijk wachtwoordbeleid. »
- Alle organisaties worden aangeraden om aanvullende beveiligingsmaatregelen te treffen om wachtwoordbeveiliging in het gehele bedrijf te versterken.
Wat kan uw organisatie nog meer doen om wachtwoorden te beschermen?
Om de wachtwoorden van uw werknemers beter te beschermen, wordt het gebruik van tweefactorauthenticatie (2FA) aangeraden. Dit verifieert de identiteit van de accounteigenaar met een eenmalige pincode – iets dat de gebruiker heeft – als aanvulling op gebruikersnaam en wachtwoord – iets dat de gebruiker weet – en beschermt hiermee toegang tot zakelijke systemen zelfs als de inloggegevens gelekt of gestolen zijn.
Omdat SMS en mobiele apparaten vaak onderhevig zijn aan malware-aanvallen, blijven moderne 2FA-oplossingen weg van SMS-verificatie en gebruiken ze in plaats daarvan push notifications, omdat die zowel veiliger als gebruiksvriendelijker zijn. Om de veiligheid van het authenticatieproces nog meer te versterken kunnen organisaties biometrie inzetten – iets dat de gebruiker is – door multi-factor authenticatie (MFA) te implementeren.
ESETs krachtige 2FA beschermt wachtwoorden
ESET Secure
Authentication
Single-tap, mobiele authenticatie biedt ondersteuning bij het beveiligen van uw data op een zorgeloze manier en het voldoen aan vereiste compliances. Het maakt gebruik van gebruiksvriendelijke pushnotificaties voor zowel Android als iOS, heeft een gemakkelijk managementsysteem en is binnen 10 minuten uitgerold. Probeer het nu en ervaar hoe het werkt.