Hvorfor skal SMV'er bekymre sig om adgangskoder?
Ifølge Verizons rapport om databrud fra 2017 forårsages op til 81 % af databrud af svage eller stjålne adgangskoder. I betragtning af, at mere end 5 mia. adgangskoder er blevet lækket online, er grundlæggende adgangskodebeskyttelse blevet gjort ineffektiv.
Og hvis du tror, at din organisation ikke har noget, der kan interessere cyberkriminelle, så tro om igen. SMV'er er et slaraffenland for cyberkriminelle, da de har flere værdifulde data og aktiver end forbrugere, men er mere sårbare end virksomheder, som har større sikkerhedsbudgetter.
Læs mere
Dette problem forstærkes af det stigende antal virksomheder, der inkorporerer "intelligente" enheder i deres IT-infrastruktur. Skønt tingenes internet (IoT) hjælper dem med at gøre forretningsaktiviteter hurtigere og mere jævne, er disse enheder ofte sårbare og kører med offentligt tilgængelige standardbrugernavne og -adgangskoder for administratorerne, hvilket udgør en risiko, der kan have skadelige konsekvenser.
Desuden hedder det i EU's nye generelle forordning om databeskyttelse (GDPR),at organisationer af alle størrelser skal sikre deres data ved at gennemføre "passende tekniske og organisatoriske foranstaltninger". Så hvis der opstår et brud, og der kun er anvendt simple og statiske adgangskoder, kan der forventes en stor bøde.
Over hele verden strammes der op omkring love og bestemmelser om privatlivets fred. De nyligt vedtagne rapporteringskrav for nationale databrud (NDB) i den australske lov om privatlivets fred og forskellige amerikanske staters bestemmelser om privatlivets fred med strenge rapporteringskrav for databrud hæver standarderne for alle, der er i besiddelse af oplysninger om bosiddende i disse retsområder.
Hvordan stjæler angribere adgangskoder?
1. Enkle og virkelige teknikker omfatter skuldersurfing, hvor angribere observerer potentielle ofre, når de skriver deres adgangskoder.
2. Angribere manipulerer også den "menneskelige svaghed" hos deres ofre via social engineering. En professionelt udformet onlineformular eller en mail (phishing-angreb) tilsyneladende fra en troværdig afsender kan overtale selv veluddannede brugere til at afsløre deres adgangskoder.
3. Cyberkriminelle med fodfæste i organisationens netværk kan bruge malware til at søge efterdokumenter, der indeholder adgangskoder, eller logge tastetryk for adgangskoder og sende disse oplysninger til deres C&C-server. Black hats kan også udtrække krypterede adgangskodefiler og hacke dem offline.
4. Mere krævende angrebsteknikker omfatter opfangelse af netværkstrafik i medarbejderenheder, der bruges eksternt eller på et offentligt sted.
5. En af de mest populære måder til at bryde adgangskodebeskyttelse på er at bruge brute force. Automatiserede scripts prøver millioner af adgangskodekombinationer over en kort periode, indtil den korrekte er fundet. Det er derfor, at det i årenes løb er blevet nødvendigt med længere adgangskoder. Jo mere kompleks adgangskoden er, jo mere tid skal cyberkriminelle bruge for at gætte den.
Hvordan opbygges en god adgangskodepolitik?
For at sikre, at din organisation har en effektiv adgangskodepolitik, anbefales det at følge specifikke procedurer:
- Medarbejderne skal uddannes i, hvordan de opretter en stærk adgangskode. »
- IT-afdelinger bør implementere regler, når de fastsætter og håndhæver en virksomheds adgangskodepolitik. »
- Alle organisationer anbefales at implementere yderligere beskyttelsesforanstaltninger for at øge adgangskodesikkerheden i hele organisationen.
Hvad kan din organisation ellers gøre for at beskytte sine adgangskoder?
Hvis du vil opnå en bedre beskyttelse af adgangskoderne for din organisations medarbejdere, anbefales det at bruge to-faktor-godkendelse (2FA) . Dette bekræfter kontoindehaverens identitet med en engangskode – som brugeren har – ud over brugernavnet og adgangskoden – som brugeren kender – så adgangen til virksomhedens systemer beskyttes, selv når legitimationsoplysningerne lækkes eller stjæles.
Da SMS og mobile enheder ofte er udsat for malwareangreb, afstår moderne 2FA-løsninger fra at bruge SMS-bekræftelse og vælger i stedet push-notifikationer, fordi de er mere sikre og brugervenlige. For yderligere at øge sikkerheden i godkendelsesprocessen kan organisationer tilføje biometri – noget brugeren er – ved at implementere multifaktorgodkendelse (MFA).
ESET's effektive 2FA beskytter adgangskoder
ESET Secure
bekræftelse
Mobilbaseret godkendelse med et enkelt tryk er med til at sikre dine data på en problemfri måde ud over overholdelse af de påkrævede instrukser. Der anvendes brugervenlige push-notifikationer til både Android og iOS, og det har en nem håndtering og hurtig implementering inden for 10 minutter. Prøv nu, og se, hvordan det virker.
Lær mere
