Dlaczego mali i średni przedsiębiorcy powinni zwracać większą uwagę na hasła?
Według raportu Data Breach Investigation Report opublikowanego przez Verizon, do 81 procent wycieków danych doszło na skutek kradzieży lub złamania słabych haseł. Biorąc pod uwagę, że już ponad 5 miliardów haseł zostało opublikowanych w sieci, zapewniana przez nie ochrona sama w sobie okazuje się niewystarczająca.
Jeśli natomiast uważasz, że cyberprzestępcy nie mają powodu, by interesować się Twoją firmą, to jesteś w poważnym błędzie. Małe i średnie przedsiębiorstwa to optymalny cel ataku dla przestępców, ponieważ dysponują bardziej wartościowymi zasobami i danymi niż typowi konsumenci, a przy tym w większości nie dysponują równie skutecznymi zabezpieczeniami, co wielkie korporacje z dużymi budżetami na cyberbezpieczeństwo.
Czytaj więcej
Opisywany problem potęguje rosnąca liczba przedsiębiorstw, wdrażających do swojej infrastruktury wszelkiego rodzaju rozwiązania typu „smart”. Choć Internet rzeczy (ang. Internet of Things, IoT) może znacząco ułatwić codzienne funkcjonowanie firmy, to jednocześnie może się on okazać furtką dla przestępców chcących włamać się do naszej sieci. Dzieje się tak, ponieważ inteligentne urządzenia bardzo często posiadają poważne podatności – np. łatwy dostęp do konta administratora z wykorzystaniem domyślnych danych logowania.
Dodatkowo obowiązujące w Unii Europejskie Ogólne rozporządzenie o ochronie danych (RODO) nakłada na wszystkie organizacje obowiązek zapewnienia „odpowiednich środków technicznych i organizacyjnych” w celu zapewnienia bezpieczeństwa przetwarzanych danych. Oznacza to, że gdyby doszło do ich wycieku, stosowanie samego hasła nie wystarczy by uniknąć wysokiej kary pieniężnej.
Na całym świecie można zaobserwować trend związany z zaostrzaniem przepisów dotyczących ochrony prywatności. Wdrożone niedawno na mocy australijskiej ustawy National Data Breach (NBD) wymogi dotyczące zgłaszania naruszeń oraz stosowane w tym zakresie regulacje poszczególnych stanów USA znacząco podnoszą standardy związane z ochroną danych osobowych w odniesieniu do osób objętych wspomnianymi przepisami.
W jaki sposób przestępcy kradną hasła?
1. Stosując proste techniki, takie jak patrzenie przez ramię, kiedy potencjalna ofiara wprowadza swoje hasło.
2. Wykorzystują słabe punkty swoich ofiar z pomocą socjotechniki. Profesjonalnie przygotowana strona internetowa z formularzem lub wiadomość e-mail przesłana z zaufanego źródła (atak phishingowy) może przekonać nawet świadomego ryzyka użytkownika do udostępnienia swojego hasła.
3. Przestępcy, którym udało się zinfiltrować sieć danej organizacji, mogą skorzystać ze złośliwego oprogramowania, które będzie przeszukiwać poszczególne komputery w poszukiwaniu dokumentów zawierających hasła albo rejestrować znaki wpisywane na klawiaturze i wysyłać je do wskazanego serwera. Wielokrotnie nawet zaszyfrowane pliki nie stanowią przeszkody dla hakerów, którzy mogą je wykraść i złamać offline.
4. Bardziej zaawansowane techniki obejmują przechwytywanie ruchu sieciowego urządzeń, z których pracownicy korzystają zdalnie lub w miejscach publicznych.
5. Jedną z najpopularniejszych metod łamania haseł jest tzw. „brute force”. Technika ta polega na wykorzystaniu zautomatyzowanych skryptów, które sprawdzają miliony różnych kombinacji znaków, dopóki nie znajdą tej właściwej. Wymusiło to stosowanie na przestrzeni lat coraz dłuższych haseł, ponieważ im bardziej są one złożone, tym więcej czasu potrzebują przestępcy, by je odgadnąć.
Jak stworzyć skuteczną politykę haseł?
W celu stworzenia skutecznej polityki haseł warto przestrzegać następujących procedur:
- Pracownicy muszą być przeszkoleni w zakresie tworzenia silnych haseł. »
- Administratorzy powinni wdrażać reguły wymuszające stosowanie firmowej polityki haseł. »
- Wszystkie organizacje powinny wdrożyć dodatkowe rozwiązania bezpieczeństwa, które wzmocnią ochronę zapewnianą przez hasła.
Co jeszcze mogą zrobić organizacje, by chronić swoje hasła?
W celu podniesienia bezpieczeństwa stosowanych przez użytkowników haseł zaleca się korzystanie z uwierzytelniania dwuskładnikowego (2FA). Pozwala ono uzupełnić standardowy zestaw poświadczeń, w postaci loginu i hasła – czegoś co użytkownik wie – dodatkowym składnikiem w postaci jednorazowego hasła – czymś co użytkownik ma. Pozwala to chronić firmowe systemy przed nieuprawnionym dostępem nawet wtedy, gdy dane logowania któregoś z pracowników wyciekły lub zostały skradzione.
Ze względu na to, że wiadomości SMS i urządzenia mobilne są częstym celem ataków, nowoczesne rozwiązania 2FA odchodzą od ich stosowania na rzecz powiadomień push. Dzięki temu są one nie tylko bezpieczniejsze, ale również bardziej przyjazne dla użytkownika. W celu dalszego wzmocnienia procesu uwierzytelniania organizacje mogą wprowadzić do niego biometrię – coś czym użytkownik jest – poprzez implementację uwierzytelniania wieloskładnikowego (MFA).
Uwierzytelnianie dwuskładnikowe od ESET
ESET Secure Authentication pomaga w prosty sposób chronić Twoje dane, wprowadzając do procesu uwierzytelniania dodatkowy składnik bazujący na urządzeniach mobilnych. Rozwiązanie oferuje prosty interfejs, wykorzystujący powiadomienia push w systemach Android oraz iOS, natomiast prosty interfejs umożliwia jego wdrożenie w ciągu 10 minut. Przetestuj i zobacz, jak sprawdza się w Twojej organizacji.