Om het voor hackers moeilijker te maken om zich een weg te bluffen naar een computernetwerk, volgen voorzichtige bedrijven het advies van Begin met veiligheid En vereist sterke authenticatiepraktijken.
We hebben FTC-schikkingen, afgesloten onderzoeken en de vragen die we krijgen van bedrijven over het implementeren van goede authenticatie-“hygiëne” overwogen. Hier volgen enkele tips voor het gebruik van effectieve authenticatieprocedures om uw netwerk te helpen beschermen.
Dring aan op lange, complexe en unieke wachtwoorden.
De reden voor een wachtwoord is dat het voor een gebruiker gemakkelijk te onthouden is, maar voor een fraudeur moeilijk te achterhalen. Voor de hand liggende keuzes zoals ABCABC, 121212 of qwerty zijn het digitale equivalent van een “hack me” -personage. Bovendien hebben experts vastgesteld dat wachtwoordzinnen of langere wachtwoorden over het algemeen moeilijker te kraken zijn. De slimmere strategie is dat bedrijven hun normen heroverwegen, minimumvereisten implementeren en gebruikers leren hoe ze sterkere wachtwoorden kunnen maken. Wanneer u software, programma’s of hardware op uw netwerk, computers of apparaten installeert, moet u onmiddellijk het standaardwachtwoord wijzigen. En als u producten ontwerpt waarbij consumenten een wachtwoord moeten gebruiken, configureer dan de initiële installatie zo dat ze het standaardwachtwoord moeten wijzigen.
Voorbeeld: Een medewerker probeert te kiezen loonlijst als het wachtwoord voor de database met salarisinformatie van werknemers. Het bedrijf heeft zijn systeem zo opgezet dat het een voor de hand liggende keuze als deze afwijst.
Voorbeeld: Om toegang te krijgen tot het bedrijfsnetwerk laat een bedrijf werknemers hun gebruikersnaam en een gemeenschappelijk wachtwoord invoeren dat wordt gedeeld door iedereen die er werkt. Medewerkers mogen het gedeelde wachtwoord ook gebruiken om toegang te krijgen tot andere services op het systeem, waarvan sommige gevoelige persoonlijke informatie bevatten. Het verstandiger beleid zou zijn om voor elke werknemer sterke, unieke wachtwoorden te eisen en erop aan te dringen dat zij verschillende wachtwoorden gebruiken om toegang te krijgen tot verschillende applicaties.
Voorbeeld: Tijdens een personeelsvergadering geeft de IT-manager van een bedrijf medewerkers tips over goede wachtwoordhygiëne. Ze legt uit dat wachtwoorden of langere wachtwoorden beter zijn dan korte wachtwoorden die zijn gebaseerd op standaardwoorden uit het woordenboek of bekende informatie (zoals de naam van een kind, een huisdier, een verjaardag of een favoriet sportteam). Door een veiliger bedrijfswachtwoordstandaard op te zetten en werknemers te trainen om deze te implementeren, zet de IT-manager een stap om zijn bedrijf te helpen het risico op ongeautoriseerde toegang te verminderen.
Bewaar wachtwoorden veilig.
De eerste verdedigingslinie van een bedrijf tegen datadieven is personeel dat getraind is om wachtwoorden geheim te houden. Maar zelfs het sterkste wachtwoord is niet effectief als een medewerker het op een briefje op zijn bureau schrijft of met iemand anders deelt. Train uw personeel om geen wachtwoorden bekend te maken in reactie op telefoontjes of e-mails, ook niet als deze van een collega lijken te komen. Het is bekend dat fraudeurs zich voordoen als bedrijfsfunctionarissen door telefoonnummers of e-mailadressen te vervalsen.
Een gecompromitteerd wachtwoord vormt een bijzonder risico als het kan worden gebruikt om de deur te openen naar nog gevoeligere informatie, bijvoorbeeld een database met andere gebruikersinformatie die in duidelijke, leesbare tekst op het netwerk wordt bijgehouden. Maak het moeilijk voor datadieven om een gelukkige wachtwoordgok om te zetten in een catastrofale inbreuk op de meest gevoelige gegevens van uw bedrijf door beleid en procedures te implementeren om de inloggegevens veilig te houden.
Voorbeeld: Een nieuwe medewerker krijgt een telefoontje van iemand die beweert de systeembeheerder van het bedrijf te zijn. De beller vraagt hem zijn netwerkwachtwoord te bevestigen. Omdat de nieuwe medewerker tijdens een interne beveiligingsoriëntatie kennis heeft genomen van nabootsingsfraude, weigert hij zijn wachtwoord bekend te maken en rapporteert hij het incident in plaats daarvan aan de juiste persoon in het bedrijf.
Voorbeeld: Een bedrijf slaat gebruikersgegevens en andere wachtwoorden als platte tekst op in een tekstverwerkingsbestand op zijn netwerk. Als hackers toegang zouden krijgen tot het bestand, zouden ze die inloggegevens kunnen gebruiken om andere gevoelige bestanden op het netwerk te openen, waaronder een met een wachtwoord beveiligde database met financiële informatie van klanten. In het geval van een inbreuk kan het Bedrijf de impact van de inbreuk mogelijk verminderen door inloggegevens in een veiligere vorm te bewaren.
Bescherm uzelf tegen brute force-aanvallen.
Bij brute force-aanvallen gebruiken hackers geautomatiseerde programma’s om systematisch mogelijke wachtwoorden te raden. (In een eenvoudig voorbeeld proberen ze aaaa1, aaaa2, aaaa3, etc. totdat ze paydirt tegenkomen.) Een verdediging tegen een brute force-aanval is een systeem dat is opgezet om gebruikersgegevens op te schorten of uit te schakelen na een bepaald aantal mislukte inlogpogingen.
Voorbeeld: Een bedrijf stelt zijn systeem zo in dat een gebruiker wordt uitgesloten na een bepaald aantal onjuiste inlogpogingen. Dit beleid is geschikt voor werknemers die hun wachtwoord bij de eerste poging onjuist invoeren, maar bij de tweede poging correct invoert, terwijl bescherming wordt geboden tegen kwaadwillige brute force-aanvallen.
Bescherm gevoelige accounts met meer dan alleen een wachtwoord.
U heeft sterke, unieke wachtwoorden nodig, deze veilig opgeslagen en mensen uitgelogd na een aantal mislukte inlogpogingen. Maar bescherming tegen ongeoorloofde toegang tot gevoelige informatie is misschien niet voldoende. Consumenten en werknemers hergebruiken vaak gebruikersnamen en wachtwoorden voor verschillende online accounts, waardoor deze inloggegevens uiterst waardevol zijn voor aanvallers op afstand. Inloggegevens worden op het dark web verkocht en gebruikt om inloggegevensaanvallen uit te voeren – een soort aanval waarbij hackers automatisch en op grote schaal gestolen gebruikersnamen en wachtwoorden invoeren op populaire internetsites om te bepalen of deze werken. Sommige aanvallers timen hun inlogpogingen om de beperkingen op mislukte inlogpogingen te omzeilen. Om inloggegevensaanvallen en andere online aanvallen tegen te gaan, moeten bedrijven meerdere authenticatietechnieken combineren voor accounts met toegang tot gevoelige gegevens.
Voorbeeld: Een hypotheekbedrijf vereist dat klanten sterke wachtwoorden gebruiken om online toegang te krijgen tot hun rekeningen. Gezien de zeer gevoelige aard van de informatie die het bevat, besluit het echter een extra beveiligingslaag te implementeren. Het bedrijf gebruikt een geheime verificatiecode die wordt gegenereerd door een authenticatie-app op de smartphone van de klant en vereist dat de klant deze code invoert en zijn sterke wachtwoord gebruikt voor toegang. Door deze extra bescherming te implementeren, heeft het hypotheekbedrijf de veiligheid van zijn website versterkt.
Voorbeeld: Een online e-mailserviceprovider heeft sterke wachtwoorden nodig. Maar het biedt consumenten ook de mogelijkheid om tweefactorauthenticatie op verschillende manieren te implementeren. De e-mailprovider kan bijvoorbeeld een code genereren via sms of spraakoproep. Hiermee kunnen gebruikers ook een beveiligingssleutel in een USB-poort steken. Door tweefactorauthenticatie aan te bieden, biedt de e-mailserviceprovider gebruikers een extra beveiligingslaag.
Voorbeeld: Een incassobureau laat zijn incassobureaus thuiswerken. Om toegang te krijgen tot het bedrijfsnetwerk, dat spreadsheets met financiële informatie over debiteuren bevat, vereist het bedrijf dat werknemers inloggen op een virtueel particulier netwerk, beschermd door een sterk wachtwoord en een sleutelhanger die elke zes seconden willekeurige getallen genereert. Door de toegang op afstand tot zijn netwerk te beveiligen met multi-factor authenticatie, heeft het bedrijf zijn authenticatieprocedures verbeterd.
Bescherm tegen authenticatie-bypass.
Hackers zijn een hardnekkig stel. Als ze niet via de hoofdingang naar binnen kunnen, proberen ze andere virtuele deuren en ramen om te zien of een ander toegangspunt krap is. Ze kunnen b.v. sla eenvoudigweg de inlogpagina over en ga direct naar een netwerk of webapplicatie die pas beschikbaar zou moeten zijn nadat een gebruiker aan de andere authenticatieprocedures van het netwerk heeft voldaan. De verstandige oplossing is bescherming tegen authenticatie, kwetsbaarheden omzeilen en alleen toegang toestaan via een authenticatiepunt waarmee uw bedrijf goed in de gaten kan houden wie er probeert binnen te komen.
Voorbeeld: Een kliniek voor gewichtsverlies heeft een publiekelijk toegankelijke webpagina waarop zijn diensten worden beschreven. Deze pagina heeft ook een inlogknop waarmee bestaande leden hun gebruikersnaam en wachtwoord kunnen invoeren om toegang te krijgen tot een speciaal “Members Only” -portaal. Eenmaal ingelogd op het “Members Only”-portaal kunnen leden naar andere zogenaamd beperkte pagina’s navigeren, waaronder een persoonlijke “Track My Progress”-pagina waar ze hun gewicht, lichaamsvet, hartslag, favoriete hardlooproutes, enz. kunnen invoeren. Als een persoon echter de URL kent van de “Track My Progress”-pagina van een lid, kan de persoon eenvoudigweg de inlogpagina typen en het adres overslaan. Hiermee kan de persoon de informatie op de ledenpagina bekijken zonder een gebruikersnaam of wachtwoord in te voeren. De veiligere optie is dat de afslankkliniek ervoor zorgt dat mensen inloggegevens moeten invoeren voordat ze toegang krijgen tot enig deel van het ‘Members Only’-portaal.
De boodschap voor bedrijven: Denk goed na over uw autorisatieprocedures om gevoelige informatie op uw netwerk te beschermen.
Volgende in de serie: Bewaar gevoelige persoonlijke informatie veilig en bescherm deze tijdens het transport.
