Heslá vo firme

Heslá predstavujú jedno zo základných bezpečnostných opatrení. So zvyšujúcim sa počtom a komplexnosťou hesiel je však stále náročnejšie bezpečne ich spravovať a používať. Preto sú na posilnenie základnej funkcie hesiel potrebné dodatočné ochranné riešenia, akým je dvojfaktorová autentifikácia.

Heslá vo firme

Heslá predstavujú jedno zo základných bezpečnostných opatrení. So zvyšujúcim sa počtom a komplexnosťou hesiel je však stále náročnejšie bezpečne ich spravovať a používať. Preto sú na posilnenie základnej funkcie hesiel potrebné dodatočné ochranné riešenia, akým je dvojfaktorová autentifikácia.

čítanie na 5 min.

čítanie na 5 min.

Prečo by sa malé a stredné firmy mali zaoberať bezpečnosťou hesiel?

Podľa správy Verizon z roku 2017 o vyšetrovaní únikov údajov (DBIR) sú slabé alebo ukradnuté heslá príčinou až 81 percent únikov údajov. Vzhľadom na to, že doposiaľ došlo k únikom a zverejneniu už viac ako 5 miliárd hesiel, základnú ochranu heslom môžeme považovať za nedostatočne účinnú.

Ak ste presvedčení, že kybernetickí zločinci nemajú dôvod zamerať sa na vašu firmu, zamyslite sa ešte raz. Z pohľadu kybernetických útočníkov sú malé a stredné firmy  ideálnym cieľom, pretože disponujú hodnotnejšími údajmi a aktívami ako spotrebitelia, no zároveň sú zraniteľnejšie ako veľké firmy, ktoré majú na bezpečnosť vyhradený väčší rozpočet.

Prečítajte si viac

Tento problém sa môže zhoršiť rastúcim počtom firiem, ktoré do svojej IT infraštruktúry začleňujú smart zariadenia. Takéto zariadenia, ktoré sa súhrnne označujú ako „internet vecí“ (IoT), síce firmám pomáhajú vykonávať obchodné operácie rýchlejšie a plynulejšie, no často sú zraniteľné a používajú prednastavené administrátorské mená a heslá, ktoré sú verejne dostupné, čo predstavuje bezpečnostné riziko a môže viesť k negatívnym následkom.

V platnosti je zároveň nové európske nariadenie o ochrane osobných údajov (GDPR), podľa ktorého musia organizácie všetkých veľkostí zaistiť zavedením „primeraných technických a organizačných opatrení“ bezpečnosť osobných údajov, ktoré zbierajú. Firmy preto môžu očakávať vysokú pokutu v prípade, že dôjde k narušeniu zabezpečenia týchto osobných údajov, ak je prístup k nim chránený len jednoduchými statickými heslami, alebo sú dokonca uchovávané v nezašifrovanej forme.

Sprísňovanie zákonov a nariadení o ochrane osobných údajov prebieha v celosvetovom meradle. Nedávno schválené požiadavky na ohlasovanie narušenia bezpečnosti údajov (Notifiable Data Breach – NDB), ktoré sú súčasťou austrálskeho zákona o ochrane súkromia, ako aj rozličné nariadenia USA o ochrane osobných údajov s prísnymi požiadavkami na oznamovanie únikov údajov, zvyšujú nároky a štandardy pre každého, kto disponuje údajmi patriacimi obyvateľom daných štátov. 

Ako útočníci kradnú heslá?

1. Medzi jednoduché, bežne využívané techniky patrí napríklad tzv. shoulder surfing, pri ktorom útočník sleduje potenciálnu obeť pri zadávaní prístupových údajov, aby odpozoroval heslo.

2. Útočníci sa tiež snažia zneužiť ľudský faktor a zmanipulovať obete prostredníctvom techník sociálneho inžinierstva. Profesionálne vytvorený online formulár alebo e-mail (phishingový útok), ktorý vyzerá ako od dôveryhodného odosielateľa, môže zmiasť aj dobre vyškolených používateľov a presvedčiť ich, aby prezradili svoje heslá.

3. Kybernetickí zločinci, ktorým sa podarilo dostať do firemnej siete, môžu využiť malvér na vyhľadávanie dokumentov obsahujúcich heslá alebo na zaznamenávanie stlačených klávesov pri zadávaní hesiel a na následné odosielanie týchto informácií na riadiaci C&C server. Kybernetickí zločinci môžu tiež extrahovať zašifrované súbory s heslami a prelomiť ich offline.

4. Medzi náročnejšie techniky útoku patrí zachytávanie sieťovej komunikácie zamestnaneckých zariadení, ktoré sa používajú na diaľku alebo na verejnom mieste.

5. Jedným z najvyužívanejších spôsobov, ako prelomiť ochranu heslom, je útok hrubou silou (tzv. brute-force attack). Funguje na princípe automatizovaných skriptov, ktoré v krátkom čase vyskúšajú milióny kombinácií hesiel, kým nenájdu to správne heslo. Je preto stále dôležitejšie používať dlhšie a komplikovanejšie heslá. Čím zložitejšie heslo je, tým viac času kybernetickí zločinci potrebujú na jeho prelomenie.

Ako si vytvoriť dobré bezpečnostné pravidlá pre heslá?

Ak chcete zabezpečiť, aby vaša firma mala účinné bezpečnostné pravidlá pre heslá, odporúča sa dodržať konkrétne postupy:

Čo ešte môže vaša firma urobiť pre vyššiu bezpečnosť hesiel?

Pre lepšiu ochranu hesiel vašich zamestnancov odporúčame používať dvojfaktorovú autentifikáciu (2FA). Tá overí identitu majiteľa účtu nielen pomocou prístupového mena a hesla (niečoho, čo používateľ vie), ale navyše aj prostredníctvom jednorazového prístupového kódu (niečoho, čo používateľ má), čím chráni prístup k firemným systémom aj v prípadoch, keď dôjde k úniku alebo krádeži prístupových údajov. 

Keďže SMS služby a mobilné zariadenia sú často vystavené malvérovým útokom, moderné riešenia 2FA upúšťajú od overovania cez SMS správy a namiesto toho uprednostňujú push notifikácie, ktoré sú bezpečnejšie a lepšie aj z hľadiska použiteľnosti. Pre ďalšie zvýšenie bezpečnosti overovacieho procesu môžu firmy pridať biometriu (niečo, čo je používateľovi prirodzene vlastné) zavedením viacfaktorovej autentifikácie (MFA)

Výkonné viacúrovňové overovanie od spoločnosti ESET zvýši zabezpečenie prístupu

ESET Secure
Authentication

Riešenie, ktoré umožňuje overovanie identity používateľa jediným ťuknutím na mobilnom zariadení a ktoré pomáha bezproblémovo zabezpečiť vaše údaje a spĺňať predpísané požiadavky na ochranu údajov. Využíva používateľsky jednoduché push notifikácie pre Android aj iOS, ľahko sa spravuje a možno ho nasadiť do 10 minút. Vyskúšajte a uvidíte, ako funguje.