използва се с разрешение от FTC.gov
от Томас Б. Пол, изпълняващ длъжността, Бюро за защита на потребителите на FTC

ctsi

За да затруднят хакерите да блъфират пътя си към компютърна мрежа, внимателните компании следват съветите на Start with Security и изискват силни практики за удостоверяване.

Обмислихме сетълмента на FTC, приключили разследвания и въпросите, които получаваме от бизнеса относно прилагането на добра хигиена за удостоверяване. Ето няколко съвета за използване на ефективни процедури за удостоверяване, за да защитите вашата мрежа.

Настоявайте за дълги, сложни и уникални пароли

Самата причина за паролата е да бъде лесно за запомняне от потребителя, но измамникът е труден за разбиране. Очевидният избор като ABCABC, 121212 или qwerty е цифровият еквивалент на знака „хакни ме“. Освен това експертите са установили, че паролите или по-дългите пароли обикновено са по-трудни за разбиване.

По-интелигентната стратегия е компаниите да обмислят своите стандарти, да прилагат минимални изисквания и да обучават потребителите как да създават по-силни пароли. Също така, когато инсталирате софтуер, приложения или хардуер във вашата мрежа, компютри или устройства, променете незабавно паролата по подразбиране. И ако проектирате продукти, които изискват от потребителите да използват парола, конфигурирайте първоначалната настройка, така че да трябва да променят паролата по подразбиране.

Пример: Член на персонала се опитва да избере ведомост за заплата като парола за базата данни, която включва информация за заплатите на служителите. Компанията настройва своята система, за да отхвърли очевиден избор като този.

Пример: За достъп до корпоративната мрежа бизнесът позволява на служителите да въвеждат своето потребителско име и споделена парола, общи за всички, които работят там. Служителите също имат право да използват тази споделена парола за достъп до други услуги в системата, някои от които съдържат чувствителна лична информация. По-предпазливата политика би била да се изискват силни, уникални пароли за всеки служител и да се настоява да използват различни пароли за достъп до различни приложения.

Пример: На среща на персонала ИТ мениджърът на компанията предлага съвети на служителите относно добрата хигиена на паролата. Тя обяснява, че паролите или по-дългите пароли са по-добри от кратките пароли, базирани на стандартни думи в речника или добре известна информация (например име на дете, домашен любимец, рожден ден или любим спортен екип). Чрез установяване на по-сигурен корпоративен стандарт за парола и обучение на служителите за прилагането му, ИТ мениджърът предприема стъпка, за да помогне на компанията си да намали риска от неоторизиран достъп.

Съхранявайте паролите сигурно

Първата линия на защита на компанията срещу крадците на данни е работна сила, обучена да пази паролите в тайна. Но дори и най-силната парола е неефективна, ако служител я напише на лепкава бележка на бюрото си или я сподели с някой друг. Обучете персонала си да не разкрива пароли в отговор на телефонни обаждания или имейли, включително такива, които може да изглеждат, че идват от колега. Известно е, че измамниците се представят за корпоративни служители чрез подправяне на телефонни номера или имейл адреси.

Компрометираната парола представлява особен риск, ако може да се използва за отваряне на вратата за още по-чувствителна информация - например база данни с други потребителски идентификационни данни, поддържана в мрежата в обикновен, четим текст. Улеснете крадците на данни да превърнат предположението за щастлива парола в катастрофално нарушаване на най-чувствителните данни на вашата компания, като внедрите политики и процедури за сигурно съхраняване на идентификационни данни.

Пример: Нов служител получава обаждане от някой, който твърди, че е системният администратор на компанията. Повикващият го моли да провери паролата си в мрежата. Тъй като новият служител научи за измами с самоличност при вътрешна ориентация за сигурност, той отказва да разкрие паролата си и вместо това съобщава за инцидента на съответното лице в компанията.

Пример: Компанията съхранява потребителските идентификационни данни и други пароли в обикновен текст в текстообработващ файл в своята мрежа. Ако хакерите трябваше да получат достъп до файла, те биха могли да използват тези идентификационни данни, за да отворят други чувствителни файлове в мрежата, включително защитена с парола база данни за финансовата информация на клиентите. В случай на нарушение, компанията може потенциално да намали въздействието на нарушението, като поддържа информация за идентификационните данни в по-сигурна форма.

Стража срещу атаки с груба сила

При груби атаки хакерите използват автоматизирани програми, за да отгатват систематично възможни пароли. (В прост пример те се опитват aaaa1, aaaa2, aaaa3 и т.н., докато ударят мръсотия.) Една защита срещу атака с груба сила е система, създадена за спиране или деактивиране на идентификационни данни на потребителя след определен брой неуспешни опити за влизане.

Пример: Фирма настройва своята система, за да заключи потребител след определен брой грешни опити за влизане. Тази политика побира служителката, която въвежда грешно паролата си при първия опит, но я въвежда правилно при втория, като същевременно предпазва от злонамерени атаки с груба сила.

Защитете чувствителните акаунти с повече от просто парола

Изисквали сте силни, уникални пароли, съхранявали сте ги сигурно и сте излизали от хората след редица неуспешни опити за влизане. Но за да се предпазим от неоторизиран достъп до чувствителна информация, това може да не е достатъчно. Потребителите и служителите често използват повторно потребителски имена и пароли в различни онлайн акаунти, което прави тези идентификационни данни изключително ценни за отдалечените хакери. Идентификационните данни се продават в тъмната мрежа и се използват за извършване на атаки за пълнене на идентификационни данни - вид атака, при която хакерите автоматично и в голям мащаб въвеждат откраднати потребителски имена и пароли в популярни интернет сайтове, за да определят дали някоя от тях работи. Някои нападатели определят времето на опитите си за влизане, за да заобиколят ограниченията при неуспешни влизания. За да се борят с атаки за пълнене на идентификационни данни и други онлайн нападения, компаниите трябва да комбинират множество техники за удостоверяване на акаунти с достъп до чувствителни данни.

Пример: Ипотечната компания изисква клиентите да използват силни пароли за достъп до своите акаунти онлайн. Но предвид изключително чувствителния характер на информацията, която притежава, той решава да приложи допълнителен слой сигурност. Компанията използва таен код за проверка, генериран от приложение за удостоверяване на смартфона на клиента и изисква от клиента да въведе този код и да използва силната си парола за достъп. Прилагайки тази допълнителна защита, ипотечната компания е засилила сигурността на сайта си.

Пример: Доставчикът на онлайн имейл услуги изисква силни пароли. Но също така предлага на потребителите възможността да внедрят двуфакторно удостоверяване чрез различни средства. Например доставчикът на имейл може да генерира код чрез текстово или гласово повикване. Той също така позволява на потребителите да вмъкват ключ за сигурност в USB порт. Предлагайки двуфакторно удостоверяване, доставчикът на имейл услуги предоставя на потребителите допълнителен слой сигурност.

Пример: Фирма за събиране на вземания позволява на колекционерите да работят от вкъщи. За достъп до мрежата на компанията, която съдържа електронни таблици с финансова информация за длъжниците, компанията изисква служителите да влязат във виртуална частна мрежа, защитена със силна парола и ключодържател, който генерира произволни числа на всеки шест секунди. Чрез осигуряване на отдалечен достъп до своята мрежа с многофакторно удостоверяване, компанията е подобрила своите процедури за удостоверяване.

Защита срещу байпас за удостоверяване

Хакерите са упорита група. Ако не могат да влязат през главния вход, ще опитат други виртуални врати и прозорци, за да видят дали друга точка за достъп е отворена. Например, те могат просто да пропуснат страницата за вход и да отидат директно в мрежа или уеб приложение, което трябва да бъде достъпно само след като потребителят се е запознал с другите процедури за удостоверяване на мрежата. Разумното решение е да се предпазите от уязвимости при заобикаляне на удостоверяването и да позволите влизане само през точка за удостоверяване, която позволява на вашата компания да следи отблизо кой се опитва да влезе.

Пример: Клиниката за отслабване има публично достъпна уеб страница, описваща нейните услуги. Тази страница също има бутон за вход, който позволява на съществуващите членове да въведат своето потребителско име и парола за достъп до специален портал „Само за членове“. След като успешно влязат в портала „Само за членове“, членовете могат да преминат към други страници, за които се предполага, че са ограничени, включително персонализирана страница „Проследяване на моя напредък“, където могат да въведат теглото си, телесните мазнини, пулса, любимите си маршрути за бягане и т.н. Ако обаче човек знае URL адреса на страницата „Проследяване на моя напредък“ на даден член, той може да пропусне страницата за вход и просто да въведе URL адреса в адресната лента. Това позволява на лицето да вижда информацията на страницата на члена, без да се налага да въвежда потребителско име или парола. По-сигурната опция е клиниката за отслабване да гарантира, че хората трябва да въведат идентификационни данни за вход, преди да получат достъп до която и да е част от портала „Само за членове“.

Съобщението за бизнеса: Помислете за вашите процедури за удостоверяване, за да защитите поверителната информация във вашата мрежа.