Для организаций, чтобы поддерживать высокий уровень целостности информации и минимизировать риски; одной из наиболее часто применяемых мер безопасности во всех аспектах информационных технологий является защита информации всех видов с использованием паролей. Защита паролем используется практически для всего; начиная от электронной почты, серверов, блогов, личных учетных записей и практически всего, к чему мы имеем доступ. Пароль — это «секретная последовательность символов, позволяющая пользователю получить доступ к файлу, компьютеру или программе». Просто пароли создаются для обеспечения безопасности и защиты целостности всего, к чему вы обращаетесь; начиная от электронной почты, банковских счетов, баз данных и т. д.
Протоколы и политики паролей
По мере совершенствования навыков хакеров по вторжению, они делают все больше и больше в разработке лучших протоколов безопасности и аутентификации. Системы безопасности создаются, чтобы требовать дополнительной сложности пароля, более частой смены пароля, ограничения простых паролей, а также невозможности повторного использования пароля, который использовался ранее. Например, в Национальной футбольной лиге все отделы и команды информационных технологий регулярно проверяются, чтобы предотвратить утечку важных паролей. Поскольку команды собирают много информации, такой как номера кредитных карт и адреса, от своих клиентов всякий раз, когда они покупают игровые билеты или товары, командам необходимо обеспечить безопасность личности своих клиентов. Лига проверяет все системы, в которых хранится эта информация, и ищет уязвимости.
Поскольку пароли так легко предугадывать, системы меняются, требуя от пользователей создавать пароли, которые гораздо труднее угадать. Чтобы пользователи не могли постоянно угадывать пароль до тех пор, пока он не будет правильно угадан, существуют политики, настроенные на блокировку учетных записей после определенного количества неудачных попыток. Согласно отчету о глобальной безопасности за 2013 год, в котором проанализировано более 300 взломов в 18 странах; заявил, что «80% инцидентов безопасности были связаны с использованием слабых административных паролей».
Использование слабых паролей или учетных данных по умолчанию остается одной из основных слабых сторон организаций. Это большая уязвимость, которой часто пользуются хакеры. Хакеры могут легко взломать несложные пароли, написав программу, которая просматривает разные слова в словаре и комбинирует слова с последовательностью чисел. Если в организации нет политики, которая блокирует учетную запись пользователя после нескольких неудачных попыток ввода пароля, организация может быть легко взломана.
Кроме того, в отчете сделан вывод о том, что люди все еще записывают пароли на бумаге, и это представляет большой риск. Поскольку эта бумага плавает по офису или дому, неавторизованные пользователи могут использовать ее для доступа к информации. Также было много случаев, когда такая информация, как пароли, была легко украдена и продана посторонним.
Обучение безопасности паролей
Чтобы свести к минимуму уязвимости, связанные с паролями, организации и отдельные лица должны взять на себя ответственность. В первую очередь, обучение членов организации основным методам обеспечения безопасности, а также передовым методам работы с паролями. Сотрудники, как правило, являются целью всех атак, потому что они используют простые или одинаковые точные пароли для всего. Хакеры и отдельные лица нацеливаются на сотрудников, пытаясь украсть их пароли с помощью атак и множества других различных методов. Инвестиции в обучение сотрудников вопросам безопасности чрезвычайно важны.
Многие организации внедряют политики и правила, требующие от отдельных лиц посещения ежеквартальных семинаров, на которых проводится обучение передовому опыту. Организации внедряют дополнительные меры отслеживания, которые отслеживают все аспекты жизненно важных данных; в которых они могут точно определить человека, если это необходимо.
Стандартизация политик и мер безопасности
В настоящее время для организации важно стандартизировать реализацию безопасности на всех платформах и устройствах. Это упрощает управление благодаря централизованному доступу. Согласно NIST (Национальный институт стандартов и технологий), для установки надежного пароля рекомендуются следующие методы: использование не менее 12 символов, использование не менее одного верхнего регистра, двух специальных символов в качестве комбинации нижнего регистра. Рекомендует пользователям не выбирать общие фразы, строку цифр или ваш идентификатор пользователя.
Кроме того, многие аналитики безопасности предлагают не использовать онлайн-генераторы паролей, потому что, если произошло вторжение на сервер, на котором хранятся все файлы от пользователей, которые посещали онлайн-генераторы паролей, пользователей можно отследить и использовать сгенерированные «безопасные» пароли. нанести ущерб инфраструктуре безопасности организации.
Если сотрудники организации будут следовать предложенным выше методам и будут реализованы политики безопасности, при которых пользователи вынуждены периодически менять свой пароль, безопасность организации в целом повысится, и у злоумышленников будет меньше шансов взломать систему.
