Miks peavad ettevõtted muretsema salasõnade pärast?
Verizon’s 2017 Data Breach Investigation Report aruande kohaselt põhjustab 81% andmerikkumistest nõrgad või varastatud salasõnad. Arvestades, et võrgus on lekkunud üle 5 miljardi salasõna, lihtsad salasõnade kaitsed ei ole enam tõhusad.
Ja kui arvad, et Sinu organisatsioonis pole midagi, mis küberkurjategijaid huvitaks, siis mõelge uuesti. Väikesed ja keskmise suurusega ettevõtted on küberkurjategijate jaoks magus koht, kuna neil on väärtuslikumaid andmeid ja varasid rohkem kui eraklientidel, kuid nad on siiski haavatavamad kui ettevõtted, kellel on suurem turvalisuseelarve.
Loe lisaks
Seda probleemi võimendab üha suurem arv ettevõtteid, kes integreerivad oma IT-infrastruktuuri nutiseadmeid. Kuigi asjade Internet (IoT) aitab neil äritegevust kiiremaks ja sujuvamaks muuta, on need seadmed sageli haavatavad ja töötavad avalikult saadaolevate vaikimisi kasutatavate administraatorinimede ja salasõnadega, kujutades endast ohtu, mis võib põhjustada kahjulikke tagajärgi.
Lisaks on ELi uues andmekaitset käsitlevas üldmääruses (GDPR)öeldud, et igas suuruses organisatsioonid peavad tagama oma andmete turvalisuse, rakendades „asjakohaseid tehnilisi ja korralduslikke meetmeid”. Seega, kui andmeleke on toimunud ja rakendatud on ainult lihtsad ja staatilised salasõnad, võib oodata suurt trahvi.
Kogu maailmas karmistatakse privaatsusseadusi ja -määrusi. Hiljuti Austraalia privaatsusseaduses vastu võetud National Data Breach (NDB) aruandlusnõuded ja mitmete USA osariikide privaatsuseeskirjad koos rangete andmete rikkumisest teatamise nõuetega ülendavad standardeid kõigile, kellel on andmeid nende jurisdiktsioonide elanike kohta.
Kuidas salasõnu varastatakse?
1. Lihtsad meetodid hõlmavad nn õlal surfamist, kus ründajad jälgivad potensiaalseid ohvreid oma salasõnade sisestamise ajal.
2. Ründajad rõhuvad ka oma ohvrite “inimlikule nõrkusele” sotsiaalse manipuleerimise kaudu. Professionaalselt koostatud veebivorm või meilisõnum (andmepüügirünnak), mis pärineb näiliselt usaldusväärselt saatjalt, võib veenda isegi hästi koolitatud kasutajaid oma paroole avaldama.
3. Küberkurjategijad, kellel on ettevõtte võrgu ukse vahel jalg sees saavad kasutada pahavara paroole sisaldavate dokumentide otsimiseks või paroolide klahvivajutuste logimiseks ja selle teabe edastamiseks oma C.&C serverisse. Black hats* saavad ka krüptitud paroolifaile kaevandada ja neid võrguühenduseta lahti mõtestada.
4. Nõudlikumate rünnakutehnikate hulka kuulub ka kaugjuhtimisega või avalikus kohas kasutatavate töötajate võrguliikluse pealtkuulamine.
5. Üks populaarsemaid viise paroolikaitse katkestamiseks on nende automatiseeritud skriptide abil väljaselgitamine. Automatiseeritud skriptid proovivad lühikese aja jooksul miljoneid paroolikombinatsioone, kuni õige leitakse. Seetõttu on muutunud vajalik, et paroolid muutuvad aastatega pikemaks. Mida keerulisem on parool, seda rohkem aega peavad küberkurjategijad selle ära arvama.
*Black hat viitab häkkerile, kes tungib pahatahtliku kavatsusega arvutisüsteemi või võrku. Ta võib rahalise kasu saamiseks kasutada turvaaukude võimalusi; varastada või hävitada isiklikke andmeid; muuta, katkestada või sulgeda veebilehti või võrke
Kuidas luua head salasõna eeskirjad?
Teie organisatsiooni tõhusa paroolieeskirjade tagamiseks on soovitatav järgida konkreetseid protseduure::
- Töötajaid tuleb koolitada kuidas tugevaid salasõnu luua. »
- IT-osakonnad peaksid ettevõtte salasõnareeglite seadmisel ja jõustamisel rakendama kindlaid eeskirju.»
- Kõigil organisatsioonidel soovitatakse rakendada täiendavaid kaitsemeetmeid salasõnade turvalisuse suurendamiseks kogu organisatsioonis.
Mida veel saab ettevõte teha salasõnade turvamiseks?
Oma organisatsiooni töötajate paroolide paremaks kaitsmiseks on soovitatav kasutada kahefaktorilist autentimist (2FA). See kontrollib kontoomaniku identiteeti ühekordse pääsukoodiga - mis on kasutajal lisaks kasutajanimele ja paroolile - ka midagi, mida kasutaja teab - nii, et see kaitseb juurdepääsu ettevõtte süsteemidele ka juhtudel, kui volikirjad on lekitatud või varastatud.
Kuna SMS-e ja mobiilseadmeid rünnatakse sageli pahavaraga, hoiduvad kaasaegsed 2FA-lahendused SMS-i kinnitamise kasutamisest ja valivad selle asemel tõuketeatised, kuna need on turvalisemad ja kasutajasõbralikumad. Autentimisprotsessi turvalisuse täiendavaks suurendamiseks saavad organisatsioonid mitmefaktorilise autentimise (MFA) juurutamise abil lisada biomeetria - see on ka kasutaja ise.
ESETi võimas 2FA kaitseb paroole
Ühe nupuvajutusega, mobiilipõhine autentimine pakub lisaks nõutavate nõuetele vastavuse tagamisele abi ka Sinu probleemideta turvamisel. See töötab nii Androidi kui ka iOS-i jaoks kasutajasõbralike tõuketeatistega, seda on lihtne hallata ja kiire juurutamine 10 minuti jooksul. Proovi nüüd ja vaata, kuidas see töötab.
