Всемирный день паролей напоминает о важности цифровой гигиены

10

Всемирный день паролей — это ежегодное напоминание о смене паролей. Intel впервые организовала Всемирный день паролей, чтобы привлечь внимание к важности уровня безопасности. Это прекрасная возможность поговорить о надёжных паролях. Слабые пароли или неправильное использование паролей стали основным фактором взломов.

Откуда ноги растут

История Всемирного дня паролей восходит к Марку Берету, который первым отпраздновал его и написал книгу «Идеальные пароли». Intel провела первый официальный Всемирный день паролей, чтобы привлечь внимание к важности безопасности паролей.

Кибер-злоумышленники активно нацеливаются и используют скомпрометированные пароли не только для получения доступа к конфиденциальным данным людей и компаний, но и для скрытия факта взлома. Учитывая это, компании внедряют решения — как технические, так и обучающие — чтобы сотрудники не только использовали надёжные пароли, но и делали это безопасным образом.

В современном цифровом мире надёжных паролей уже недостаточно, поскольку они по-прежнему представляют собой единую точку отказа. Даже если у вас самый длинный и безопасный пароль в мире, если этот пароль будет скомпрометирован, злоумышленники получат полный доступ к вашей учётной записи, системе и данным.

Лэнс Спитцнер, старший инструктор Института SANS и эксперт по человеческим рискам и осведомлённости о безопасности, сказал, что один из наиболее эффективных и проверенных подходов к надёжной аутентификации называется многофакторной аутентификацией, или сокращённо MFA.

7

«MFA — это когда перед предоставлением доступа используется несколько факторов аутентификации. Таким образом, если ваш пароль будет скомпрометирован, ваша учётная запись, система и данные по-прежнему будут в безопасности, поскольку другой фактор или факторы по-прежнему защищают вас», — сказал он. «MFA становится популярным решением, но может возникнуть большая путаница в отношении того, как именно работает MFA, а также различные его реализации.

Что такое МФА?

MFA, аббревиатура от Multi-Factor Authentication, считается одним из самых надёжных методов аутентификации. По оценкам Microsoft, MFA нейтрализует 99 % атак, основанных на проверке подлинности.

Несмотря на то, что MFA не является абсолютно надёжным, это один из самых эффективных шагов, которые организации могут предпринять, чтобы значительно снизить риск взлома. На самом простом уровне MFA представляет собой несколько уровней аутентификации, при которых человек аутентифицируется не только с помощью пароля (что-то, что он знает), но и с помощью определённого типа уникального кода или устройства, которое у него есть. Даже если их пароль скомпрометирован, их учётная запись и данные по-прежнему в безопасности, поскольку кибер-злоумышленник не имеет доступа ко второй форме аутентификации. К сожалению, на этом простота MFA заканчивается, и все может немного усложниться.

Во-первых, существует множество различных терминов для описания MFA (многофакторной аутентификации). Некоторые организации или поставщики называют это двухэтапной проверкой, двухфакторной аутентификацией (2FA), одноразовым паролем (OTP) или строгой аутентификацией. Все они подразумевают одно и то же: аутентификация требует двух или более форм аутентификации — обычно пароль и что-то ещё, например, уникальный код, отправленный или сгенерированный вашим мобильным устройством.

9

Кроме того, существует несколько способов реализации MFA. Хотя приведённый ниже список ни в коем случае не является исчерпывающим, ниже перечислены некоторые из наиболее распространённых методов.

  1. SMS-код: одноразовый уникальный код отправляется на ваше мобильное устройство в виде SMS-сообщения. Затем вы используете этот код вместе со своим паролем для аутентификации и входа в систему. Это наиболее часто используемый подход, вероятно, потому, что его проще всего настроить: отдельному пользователю просто нужно зарегистрировать номер своего мобильного телефона в своей учётной записи, чтобы при попытке входа в систему с использованием имени пользователя и пароля на его адрес был отправлен код. мобильное устройство для использования в качестве вторичного средства аутентификации. Однако, несмотря на то, что этот подход проще, он также сопряжён с риском. Если кто-то каким-то образом сможет перенаправить или завладеть вашим номером телефона (например, путём замены SIM-карты), злоумышленник получит ваш уникальный код. В другом методе атаки кибер-злоумышленники притворяются банком или ИТ-поддержкой и обманом заставляют жертв сообщить этот уникальный код, а затем быстро используют этот код для входа в систему в качестве жертвы.
  2. Генератор кодов. На вашем мобильном устройстве установлено мобильное приложение для аутентификации (например, Google Authenticator), которое генерирует для вас уникальные одноразовые коды. Вы загружаете мобильное приложение на своё мобильное устройство, а затем, чтобы включить MFA для своих учётных записей, вы синхронизируете приложение аутентификации с каждой учётной записью. Эти приложения для аутентификации могут поддерживать сотни учётных записей одновременно. Другой подход заключается в том, что вам выдаётся физический токен, который генерирует для вас одноразовые уникальные коды. Использование мобильного приложения или физического токена для генерации кодов считается более безопасным, чем SMS-коды, поскольку у кибер-злоумышленников нет возможности завладеть вашим номером телефона. Однако этот метод по-прежнему уязвим для кибератак, которые обманывают или обманывают людей, заставляя их выдать уникальный код.
  3. Уведомления об аутентификации. Некоторые мобильные приложения для аутентификации (например, Microsoft Authenticator) также делают так, что, когда вы входите на определённые веб-сайты, вместо запроса одноразового кода использования веб-сайт отправляет запрос на аутентификацию в ваше мобильное приложение, спрашивая, действительно ли это вы пытаетесь войти в систему. Если это так, вы подтверждаете запрос на аутентификацию через своё устройство. Этот подход также широко используется в экосистеме Apple. Это считается более безопасным подходом, поскольку кибер-злоумышленники не имеют кода, который мог бы попытаться обмануть людей. Однако, если кибер-злоумышленник получит доступ к вашему паролю и попытается войти под вашим логином, он может продолжать попытки пройти аутентификацию до тех пор, пока вы не подтвердите запрос на аутентификацию на своём мобильном телефоне.
  4. FIDO : вам предоставляется физическое устройство, которое подключается к вашему ноутбуку или компьютеру и зарегистрировано на веб-сайтах, на которые вы регулярно заходите. Когда устройство подключено к вашему компьютеру (через порт USB или через технологию NFC) и вы посещаете эти веб-сайты, устройство аутентифицирует вас. Yubikey — широко используемый общедоступный пример такого физического устройства, поддерживающего стандарт FIDO. Этот подход является наиболее безопасным методом аутентификации, поскольку здесь нет уникального кода или запроса на аутентификацию, и кибер-злоумышленникам нечего обманывать или обманывать своих жертв. Многие считают это лучшим решением для защиты от фишинга. Однако этот метод также может быть наиболее сложным для поддержки организаций, и многие веб-сайты ещё не поддерживают стандарт FIDO для аутентификации.

Управление паролями

Хотя большинство людей понимают важность безопасности паролей, многие по-прежнему не следуют передовым методам. Следуя советам, изложенным ниже, вы можете сделать свои пароли более безопасными. И не забывайте их регулярно менять.

  • Используйте безопасное приложение для управления паролями, которое может вспомнить несколько паролей и автоматически вводить их при необходимости.
  • Использование приложения для управления паролями избавляет от необходимости запоминать и использовать несколько паролей, что делает пользователей более склонными к использованию более надёжных и длинных паролей.
  • Когда дело доходит до создания пароля, избегайте общих слов, фраз, имён и дат, связанных с вами или непосредственными членами семьи. Злоумышленники могут легко сопоставить любые данные, собранные о вас, чтобы получить правильную комбинацию для взлома ваших учётных записей.
  • Вы также должны менять личные пароли два раза в год и избегать повторного использования паролей в разных учётных записях.
  • Для корпоративных паролей мы рекомендуем каждые 3 месяца и внедрить автоматическую системную политику, которая устанавливает крайний срок для обновления паролей. Эта политика может определять требования к паролям и предотвращать использование последних паролей.

У среднего человека есть от 70 до 100 паролей, и запомнить их все просто невозможно. Особенно, если учесть, что пароли должны быть уникальными, сложными и, в зависимости от того, где вы их читаете, могут содержать от 8 до 20 символов.

8

Есть поговорка, вы должны менять свои пароли каждые три месяца. Это верно, если вы используете один и тот же пароль для разных сайтов. Но большинство людей становятся ленивыми, когда вынуждены часто менять пароли.

Люди склонны менять одну букву или одну цифру. Это не останавливает хакеров, поэтому важно обновлять их каждый год! И не забудьте использовать менеджер паролей, который поможет вам управлять своими паролями!

Интересные статьи:

Новости, связанные с этим материалом


Нет комментариев

Написать комментарий
Тут еще нет комментариев Вы можете стать первым кто промомментирует это

Написать комментарий

Оставьте своё мнение на данную тему.
Обязательные поля отмечены*