중소기업이 패스워드에 신경을 써야 하는 이유
Verizon의 2017 데이터 유출 조사 리포트에 따르면 데이터 유출의 81%가 패스워드를 약하게 설정했거나 도난 당했기 때문에 발생합니다. 온라인에서 50억 개가 넘는 패스워드가 유출된 것을 감알할 때 기본적인 패스워드 보호는 효과가 없습니다.
회사가 사이버 범죄에 관심이 없다면 다시 생각해야 합니다. 중소기업은 개인 사용자 보다 매력적인 데이터와 자산을 가지고 있지만 보안 예산이 대기업에 비해 부족하기 때문에 사이버 범죄자들에게 좋은 먹잇감이 됩니다.
공격자가 패스워드를 훔치는 방법
1. 간단하고 실질적인 기술에는 잠재적 피해자들이 패스워드를 입력할 때 그들을 관찰하는 숄더 서핑이 포함되어 있습니다.
2. 공격자는 또한 소셜 엔지니어링을 통해 피해자의 "인간 약점"을 조작합니다. 신뢰할 수 있는 발신자가 보낸 전문적으로 제작된 온라인 양식 또는 이메일 (피싱 공격)을 통해 숙련된 사용자도 스스로 암호를 입력하도록 유인합니다.
3. 조직의 네트워크에 기반을 두고 있는 사이버 범죄자들은 악성코드를 사용해 패스워드가 포함된 문서를 검색하거나 패스워드 키 입력을 기록하고 이 정보를 C&C 서버로 보낼 수 있습니다. 블랙 햇은 암호화된 패스워드 파일을 추출하여 오프라인에서 크랙할 수 있습니다.
4. 보다 까다로운 공격 기술에는 원격 또는 공공 장소에서 사용되는 직원들의 기기의 네트워크 트래픽 가로채기가 포함됩니다.
5. 패스워드 보호를 중단시키는 가장 유명한 방법은 브루트 포스입니다. 자동화된 스크립트는 정확한 패스워드를 찾을 때까지 짧은 시간 동안 수백만 개의 패스워드 조합을 시도합니다. 수년동안 암호가 더 길어질 필요야 생긴 이유입니다. 패스워드가 복잡할 수록 사이버 범죄자들이 더 많은 시간을 들여야 합니다.
좋은 암호 설정 정책
조직에 효과적인 패스워드 정책이 적용되도록 하려면 다음과 같은 특정 절차를 따르는 것이 좋습니다:
- 직원은 강력한 암호를 설정하는 교육을 받아야 합니다. »
- IT 부서는 회사 암호 정책을 설정하고 시행할 때 규칙을 구현해야 합니다. »
- 모든 조직은 전체 조직에서 패스워드 보안을 강화하기 위해 추가 보호 조치를 구현하는 것이 좋습니다.
추가적으로 패스워드를 보호하기 위해 할 수 있는 일
직원이 패스워드를 더 잘 보호하려면 투팩터 인증 (2FA)을 사용하는 것이 좋습니다. 이를 통해 사용자가 알고 있는 ID 및 패스워드외에 사용자가 사용하는 OTP로 계정 소유자의 신원을 확인해 회사 시스템에 대한 액세스를 보호합니다.
SMS와 모바일 장치는 종종 악성코드 공격을 받기 때문에 현대의 2FA 솔루션은 SMS 확인을 사용하지 않고 더 안전하고 사용자 친화적은 푸시 알람을 선택합니다. 인증 프로세스의 보안을 강화하기 위해 멀티팩터 인증 (MFA)을 구현해 사용자를 확인하는 바이오메트리를 추가할 수 있습니다.
ESET의 강력한 2FA 보호 패스워드
단일 탭의 모바일 기반 인증은 필수 준수 사항을 축족하는 것 이외에도 번거로움없이 데이터를 보호하는 데 도움이 됩니다. Android 및 iOS 모두에 대해 사용자에게 친숙한 푸시 알람을 사용하며, 관리가 쉽고 10분 이내에 롤 아웃이 가능합니다.