Miksi PK-yritykset välittäisivät salasanoista?
Verizonin vuoden 2017 tietoturvaloukkausraportin mukaan jopa 81 % tietoturvaloukkauksista johtuvat heikoista tai varastetuista salasanoista. Ottaen huomioon, että yli 5 miljardia salasanaa on vuotanut verkkoon, perusmallinen salasanasuojaus voi tulla täysin tehottomaksi.
Ja jos luulet, että organisaatiosi ei kiinnosta verkkorikollisia, mieti uudelleen. PK-yritykset ovat suosittuja verkkorikollisten keskuudessa, koska niillä on arvokkaampaa tietoa ja omaisuutta kuin kuluttajilla ja silti ne ovat haavoittuvampia kuin isot yritykset, joilla on suuremmat turvallisuusbudjetit.
Lue lisää
Tätä ongelmaa lisää niiden yritysten kasvava määrä, jotka sisällyttävät “älylaitteita” osaksi IT-infrastruktuuriaan. Vaikka Internet of Things (IoT) auttaa heitä tekemään liiketoiminnasta nopeampaa ja kätevämpää, nämä laitteet ovat usein haavoittuvaisia ja niitä käytetään julkisesti saatavilla olevilla oletusarvoisilla järjestelmänvalvojan käyttäjätunnuksilla ja salasanoilla, millä saattaa olla haitallisia seurauksia.
Lisäksi uudessa EU:n yleisessä tietosuoja-asetuksessa (GDPR)todetaan, että kaikenkokoisten organisaatioiden on varmistettava tietojensa turvallisuus toteuttamalla “asianmukaiset tekniset ja organisatoriset toimenpiteet”. Joten jos rikkomus tapahtuu ja käytössä on vain yksinkertaisia ja staattisia salasanoja, luvassa on huomattava sakko.
Yksityisyyden suojaa koskevia lakeja ja asetuksia tiukennetaan maailmanlaajuisesti. Äskettäin hyväksytty Kansallinen tietoturvaloukkauslaki (NDB) , joka raportoi Australian tietosuojalain vaatimuksista ja erilaiset Yhdysvaltain osavaltioiden tietosuoja-asetukset ja niiden tiukat vaatimukset nostavat standardeja kaikkien niiden osalta, joilla on käytössään kyseisten lainkäyttöalueiden asukkaiden tietoja.
Miten hyökkääjät varastavat salasanoja?
1. Yksinkertaisiin ja todellisiin tekniikoihin sisältyy olkapään yli kurkkiminen, jolloin hyökkääjät tarkkailevat mahdollisia uhreja näiden syöttäessä salasanojaan.
2. Hyökkääjät käyttävät myös hyväkseen uhriensa “inhimillistä heikkoutta” sosiaalisen manipuloinnin kautta. Ammattimaisesti muotoiltu verkkolomake tai sähköpostiviesti (verkkourkintahyökkäys) näennäisesti luotettavalta lähettäjältä voi saada jopa hyvin koulutetut käyttäjät paljastamaan salasanansa.
3. Verkkorikolliset, joilla on jalansija organisaation verkossa, voivat käyttää haittaohjelmia etsiäkseen asiakirjoja,jotka sisältävät salasanoja tai kirjata salasananäppäilyjä ja lähettää nämä tiedot C&C-palvelimelleen. Black hatit voivat myös purkaa salattuja salasanatiedostoja ja murtaa ne offline-tilassa.
4. Vaativampiin hyökkäystekniikoihin kuuluu työntekijän etäältä tai julkisilla paikoilla käyttävien laitteiden verkkoliikenteen sieppaaminen.
5. Yksi suositummista tavoista rikkoa salasanasuojaus on koodata ne. Automaattiset komentosarjat kokeilevat miljoonia salasanayhdistelmiä lyhyessä ajassa, kunnes oikea salasana löytyy. Siksi salasanojen pituutta on pitänyt lisätä vuosien varrella. Mitä monimutkaisempi salasana on, sitä kauemmin verkkorikollisten kestää arvata se.
Miten luoda hyvä salasanakäytäntö?
Varmistaaksesi, että organisaatiollasi on tehokas salasanakäytäntö kannattaa noudattaa tiettyjä menettelyjä:
- Työntekijöiden tulee saada koulutusta siitä, miten luoda vahva salasana. »
- IT-osastojen tulisi ottaa käyttöön sääntöjä yrityksen salasanakäytännön laatimisen ja käyttöönoton osalta. »
- Kaikkia organisaatioita kehotetaan ottamaan käyttöön lisää suojausmenetelmiä salasanaturvallisuuden lisäämiseksi koko organisaatiossa.
Mitä muuta organisaatiosi voi tehdä suojatakseen salasanojaan?
Voidaksesi suojata organisaatiosi työntekijöiden salasanoja paremmin suositellaan kaksivaiheisen tunnistautumisen (2FA) käyttämistä. Tämä vahvistaa tilinhaltijan henkilöllisyyden kertakäyttöisellä pääsykoodilla – joka käyttäjällä on – käyttäjätunnuksen ja salasanan lisäksi – jotka käyttäjä tietää – suojaten näin pääsyä yrityksen järjestelmiin silloinkin, kun kirjautumistiedot ovat vuotaneet tai ne on varastettu.
Koska tekstiviesti- ja mobiililaitteet ovat jatkuvasti haittaohjelmahyökkäysten kohteena, nykyaikaiset 2FA-ratkaisut pyrkivät olemaan käyttämättä tekstiviestitodennusta ja käyttävät sen sijaan push-viestejä, koska ne ovat turvallisempia ja käyttäjäystävällisempiä. Lisätäkseen todennusprosessin turvallisuutta entisestään organisaatiot voivat lisätä biometriaa – jotakin mitä käyttäjä on – ottamalla käyttöön moniosaisen todennuksen (MFA).
ESETin tehokas 2FA suojaa salasanoja
Yhden näpäytyksen mobiilipohjainen todennus auttaa suojaamaan tietojasi vaivattomasti vaadittujen vaatimusten noudattamisen lisäksi. Se hyödyntää käyttäjäystävällisiä push-viestejä sekä Android- että iOS-käyttöjärjestelmissä, on helppo hallita ja se on nopea ottaa käyttöön 10 minuutissa. Kokeile nyt ja katso miten se toimii.
Lue lisätietoja
