Οι χάκερ ακολουθούν τη συμβουλή να ξεκινούν με την ασφάλεια, τις επιφυλακτικές εταιρείες και χρειάζονται ισχυρούς τρόπους για να την επαληθεύσουν για να μεταβούν στο δίκτυο υπολογιστών.
Έχουμε εξετάσει ερωτήσεις σχετικά με τους οικισμούς FTC, τις κλειστές έρευνες και την εφαρμογή καλής επαλήθευσης “υγιεινής”. Ακολουθούν ορισμένα σημεία σχετικά με τη χρήση της αποτελεσματικής μεθόδου επαλήθευσης για την προστασία του δικτύου σας.
Επιμείνετε σε μακρούς, σύνθετους και μοναδικούς κωδικούς πρόσβασης.
Ο λόγος για την ύπαρξη ενός κωδικού πρόσβασης είναι ότι είναι εύκολο για τον χρήστη να θυμάται, αλλά είναι δύσκολο για έναν απατεώνα να το μάθει. Καθαρή επιλογή όπως ABCABC, 121212, ή τα σύμβολα Cortie “Hack Me” είναι ίσα. Επιπλέον, οι ειδικοί έχουν υποσχεθεί ότι οι πρόσβασης ή οι μακροχρόνιοι κωδικοί πρόσβασης είναι συνήθως δύσκολο να σπάσουν. Η έξυπνη στρατηγική είναι για τις εταιρείες να σκεφτούν τα πρότυπά τους, να επιβάλλουν τις ελάχιστες απαιτήσεις και να ενημερώνουν τους χρήστες για τρόπους για να κάνουν ισχυρούς κωδικούς πρόσβασης. Επίσης, όταν εγκαθιστάτε λογισμικό, εφαρμογές ή υλικό στο δίκτυο, τους υπολογιστές ή τις συσκευές σας, αλλάξτε αμέσως τον προεπιλεγμένο κωδικό πρόσβασης. Και αν σχεδιάζετε προϊόντα που απαιτούν από τους χρήστες να χρησιμοποιούν τον κωδικό πρόσβασης, δημιουργούν μια αρχική ρύθμιση, ώστε να αλλάξουν τον προεπιλεγμένο κωδικό πρόσβασης.
Παράδειγμα: Ένα μέλος του προσωπικού προσπαθεί να επιλέξει Αμοιβή Ως κωδικός πρόσβασης βάσης δεδομένων που περιλαμβάνει πληροφορίες μισθών των εργαζομένων. Η εταιρεία θέτει το σύστημά της για να απορρίψει μια τέτοια σαφή επιλογή.
Παράδειγμα: Για να αποκτήσουν πρόσβαση στο εταιρικό δίκτυο, μια επιχείρηση επιτρέπει στους υπαλλήλους να πληκτρολογούν το όνομα χρήστη και τον κοινόχρηστο κωδικό πρόσβασης που λειτουργεί εκεί είναι κοινό για όλους. Οι εργαζόμενοι επιτρέπεται επίσης να χρησιμοποιούν χρήση για πρόσβαση σε άλλες υπηρεσίες στο σύστημα, μερικές από τις οποίες περιέχουν ευαίσθητα προσωπικά στοιχεία. Η πιο σοφή πολιτική θα απαιτήσει έναν ισχυρό, μοναδικό κωδικό πρόσβασης για κάθε εργαζόμενο και επιμένει να χρησιμοποιεί διαφορετικούς κωδικούς πρόσβασης για πρόσβαση σε διαφορετικές εφαρμογές.
Παράδειγμα: Σε μια συνάντηση προσωπικού, μια εταιρεία προσφέρει σημεία για την καλή υγιεινή κωδικού πρόσβασης για τους υπαλλήλους. Εξηγεί ότι το Passphress ή περισσότεροι κωδικοί πρόσβασης είναι καλύτεροι από τους σύντομους κωδικούς πρόσβασης με βάση τις τυποποιημένες λέξεις λεξικού ή καλά γνωστές πληροφορίες (για παράδειγμα, το όνομα του παιδιού, το κατοικίδιο ζώο, τα γενέθλια ή την αγαπημένη αθλητική ομάδα). Ρυθμίζοντας το πρότυπο πιο ασφαλείς εταιρικούς κωδικούς πρόσβασης και την εκπαίδευση των εργαζομένων σχετικά με την εφαρμογή του, ο διαχειριστής πληροφορικής κάνει ένα βήμα για να βοηθήσει στη μείωση του κινδύνου μη εξουσιοδοτημένης πρόσβασης στην εταιρεία του.
Αποθηκεύστε τον κωδικό πρόσβασης με ασφάλεια.
Η πρώτη γραμμή υπεράσπισης της εταιρείας κατά των κλέφτες δεδομένων είναι ένα ανθρώπινο δυναμικό που εκπαιδεύεται για να διατηρεί εμπιστευτικούς τους κωδικούς πρόσβασης. Αλλά ακόμη και ο ισχυρότερος κωδικός πρόσβασης είναι αναποτελεσματικός εάν ένας υπάλληλος το γράφει στο γραφείο του σε ένα κολλώδες σημείωμα ή το μοιράζεται με κάποιον άλλο. Εκπαιδεύστε το προσωπικό σας να μην αποκαλύψετε κωδικούς πρόσβασης ως απάντηση σε τηλεφωνήματα ή μηνύματα ηλεκτρονικού ταχυδρομείου, συμπεριλαμβανομένων εκείνων που μπορούν να εμφανιστούν από έναν συνεργάτη. Ποιος καλλιτέχνης είναι γνωστός ότι μιμείται εταιρικούς αξιωματούχους με εξαπάτηση αριθμών τηλεφώνου ή διευθύνσεις ηλεκτρονικού ταχυδρομείου.
Ο συμβιβασμένος κωδικός πρόσβασης αποτελεί σημαντικό κίνδυνο εάν μπορεί να χρησιμοποιηθεί για να ανοίξει την πόρτα για ακόμη πιο ευαίσθητες πληροφορίες – για παράδειγμα, μια βάση δεδομένων των διαπιστευτηρίων άλλων χρηστών στο δίκτυο σε ένα απλό κείμενο ανάγνωσης. Κάντε το στυλ τυχερού κωδικού πρόσβασης για τους κλέφτες δεδομένων δύσκολο να μετατρέψετε τα πιο ευαίσθητα δεδομένα της εταιρείας σας σε μια καταστροφική παραβίαση, ώστε να μπορούν να εφαρμοστούν πολιτικές και διαδικασίες για να εξασφαλίσουν τα διαπιστευτήρια.
Παράδειγμα: Ένας νέος υπάλληλος λαμβάνει μια κλήση από κάποιον που ισχυρίζεται ότι είναι ο διαχειριστής συστήματος της εταιρείας. Ο καλών του ζητά να επιβεβαιώσει τον κωδικό πρόσβασης του δικτύου του. Δεδομένου ότι το νέο προσωπικό έμαθε για απάτες απομίμησης στη γνωριμία οικιακής ασφάλειας, αρνείται να αποκαλύψει τον κωδικό πρόσβασής του και αντ ‘αυτού αναφέρει το περιστατικό στο κατάλληλο άτομο της εταιρείας.
Παράδειγμα: Μια εταιρεία θέτει τα διαπιστευτήρια χρήστη και άλλους κωδικούς πρόσβασης στο αρχείο επεξεργασίας κειμένου στο δίκτυό της. Εάν οι χάκερ θέλουν να έχουν πρόσβαση στο αρχείο, θα μπορούν να χρησιμοποιούν αυτά τα πιστοποιητικά για να ανοίξουν άλλα ευαίσθητα αρχεία στο δίκτυο, συμπεριλαμβανομένης της βάσης δεδομένων που προστατεύονται από τον κωδικό πρόσβασης των χρηστών. Σε περίπτωση παραβίασης, η εταιρεία μπορεί ενδεχομένως να μειώσει τις επιπτώσεις της παραβίασης διατηρώντας πληροφορίες σχετικά με τα διαπιστευτήρια σε μια πιο ασφαλή μορφή.
Προστατέψτε τις επιθέσεις δύναμης bruit.
Στις βίαιες επιθέσεις δύναμης, οι χάκερ χρησιμοποιούν αυτόματα προγράμματα για να αξιολογούν τακτικά τους πιθανούς κωδικούς πρόσβασης. (Για ένα απλό παράδειγμα, δοκιμάζουν τα AAAA1, AAAA2, AAA3, κλπ., Εκτός αν επιτεθούν σε πληρωμές βρωμιάς.) Μια υπεράσπιση κατά της επίθεσης δύναμης Bruit είναι ένα σύστημα που έχει καταρτιστεί για να αναστείλει ή να απενεργοποιήσει τα διαπιστευτήρια του χρήστη, τα οποία μπορούν να ανασταλούν ή να βλάψουν.
Παράδειγμα: Μια εταιρεία δημιουργεί το σύστημά της για να κλείσει τον χρήστη μετά από έναν ορισμένο αριθμό λανθασμένων προσπαθειών. Αυτή η πολιτική προσαρμόζει τον υπάλληλο που παραπλανά τον κωδικό πρόσβασής του στην πρώτη προσπάθεια, αλλά ο δεύτερος έχει τους σωστούς τύπους, προστατεύοντας παράλληλα τις επιθέσεις κακόβουλων βίαιων δυνάμεων.
Προστατέψτε τους πιο ευαίσθητους λογαριασμούς από τους απλούς κωδικούς πρόσβασης.
Χρειάζεστε ισχυρούς, μοναδικούς κωδικούς πρόσβασης, έχουν αποθηκευτεί με ασφάλεια και οι άνθρωποι έχουν συνδεθεί μετά από πολυάριθμες αποτυχημένες προσπάθειες σύνδεσης. Αλλά για να αποφευχθεί ευαίσθητες πληροφορίες από την μη εξουσιοδοτημένη πρόσβαση, μπορεί να μην είναι αρκετή. Οι χρήστες και οι υπάλληλοι συχνά επαναχρησιμοποιούν τα ονόματα χρηστών και τους κωδικούς πρόσβασης σε διαφορετικούς λογαριασμούς στο διαδίκτυο, καθιστώντας τους πολύτιμους για τους απομακρυσμένους εισβολείς. Τα διαπιστευτήρια πωλούνται στον σκοτεινό ιστό και χρησιμοποιούνται για να τερματίσουν τα διαπιστευτήρια. Μερικοί επιτιθέμενοι έχουν δοκιμάσει τη σύνδεσή τους για να λάβουν περιορισμούς στην αποτυχημένη σύνδεση. Για την αντιμετώπιση των διαπιστευτηρίων και άλλων επιθέσεων στο διαδίκτυο, οι εταιρείες θα πρέπει να συνδυάζουν πολυάριθμες τεχνικές επαλήθευσης για λογαριασμούς με πρόσβαση σε ευαίσθητα δεδομένα.
Παράδειγμα: Μια εταιρεία ενυπόθηκων δανείων απαιτεί από τους χρήστες να χρησιμοποιούν ισχυρούς κωδικούς πρόσβασης για να έχουν πρόσβαση στους λογαριασμούς τους στο διαδίκτυο. Όμως, ενόψει της εξαιρετικά ευαίσθητης φύσης των πληροφοριών στην κατοχή του, αποφασίζει να εφαρμόσει ένα επιπλέον στρώμα ασφαλείας. Η εταιρεία χρησιμοποιεί τον κωδικό μυστικού επαλήθευσης που αναπτύχθηκε από μια εφαρμογή επαλήθευσης στο smartphone του πελάτη και ο χρήστης πρέπει να χρησιμοποιήσει τον ισχυρό κωδικό πρόσβασης για να εισέλθει και να αποκτήσει πρόσβαση σε αυτόν τον κωδικό. Με την εφαρμογή αυτής της πρόσθετης προστασίας, η εταιρεία Mortgage έχει ενισχύσει την ασφάλεια στον ιστότοπό της.
Παράδειγμα: Ένας ηλεκτρονικός πάροχος υπηρεσιών ηλεκτρονικού ταχυδρομείου απαιτεί έναν ισχυρό κωδικό πρόσβασης. Αλλά προσφέρει επίσης στους χρήστες τη δυνατότητα εφαρμογής επαλήθευσης δύο παραγόντων μέσω διαφόρων πηγών. Για παράδειγμα, ένας πάροχος ηλεκτρονικού ταχυδρομείου μπορεί να παράγει έναν κώδικα μέσω κειμένου ή φωνητικής κλήσης. Επιτρέπει επίσης στους χρήστες να εισάγουν το κλειδί ασφαλείας στη θύρα USB. Προσφέροντας επαλήθευση δύο στοιχείων, ο πάροχος υπηρεσιών ηλεκτρονικού ταχυδρομείου προσφέρει ένα επιπλέον επίπεδο ασφάλειας στους καταναλωτές.
Παράδειγμα: Ένας συλλέκτης δανείων επιτρέπει στους συλλέκτες του να εργάζονται από το σπίτι. Για να αποκτήσετε πρόσβαση στο δίκτυο της εταιρείας, το οποίο περιέχει ένα υπολογιστικό φύλλο οικονομικών πληροφοριών σχετικά με τους δανειστές, η εταιρεία πρέπει να συνδεθεί σε έναν ισχυρό κωδικό πρόσβασης από τους υπαλλήλους και ένα βασικό FOB σε ένα εικονικό ιδιωτικό δίκτυο που παράγει τυχαίους αριθμούς κάθε έξι δευτερόλεπτα. Με την επαλήθευση πολλαπλών παραγόντων, με πρόσβαση στο δίκτυό της εξ αποστάσεως, η εταιρεία έχει βελτιώσει τη μέθοδο επικύρωσης.
Προστατέψτε από την παράκαμψη επαλήθευσης.
Οι χάκερ είναι σταθεροί. Εάν δεν μπορούν να εισέλθουν στην κύρια πύλη, θα δοκιμάσουν άλλες εικονικές πύλες και παράθυρα για να μάθουν αν υπάρχει άλλη πρόσβαση. Για παράδειγμα, μπορούν εύκολα να αφήσουν τη σελίδα σύνδεσης και να πάνε κατευθείαν σε μια εφαρμογή δικτύου ή ιστού που πιστεύεται ότι είναι προσβάσιμη μόνο μετά την ολοκλήρωση της άλλης μεθόδου επαλήθευσης δικτύου. Η λογική λύση είναι να αποφευχθεί η επαλήθευση από την παράκαμψη των κινδύνων και να επιτρέψει την είσοδο μέσω μιας προσέγγισης επαλήθευσης που επιτρέπει στην εταιρεία σας να λάβει έντονη την πορεία του ποιος προσπαθεί να εισέλθει.
Παράδειγμα: Η κλινική απώλειας βάρους έχει μια διαθέσιμη στο κοινό ιστοσελίδα που περιγράφει τις υπηρεσίες της. Αυτή η σελίδα διαθέτει επίσης ένα κουμπί σύνδεσης που επιτρέπει στα υπάρχοντα μέλη να εισέλθουν στην ειδική πύλη “μελών” για να εισαγάγουν το όνομα χρήστη και τον κωδικό πρόσβασής τους. Μόλις συνδεθούν με επιτυχία στην πύλη “Μόνο μέλη”, τα μέλη μπορούν να επισκεφθούν άλλες κερδοσκοπικές σελίδες, συμπεριλαμβανομένου του εξατομικευμένου προσωπικού “track” στη σελίδα όπου μπορούν να εισέλθουν στο βάρος τους, στο σωματικό λίπος, στον παλμό, στις αγαπημένες διαδρομές τρέχουσας κλπ. Αυτό επιτρέπει στο άτομο να δει τις πληροφορίες στη σελίδα του χρήστη χωρίς να εισέλθει στο όνομα χρήστη ή τον κωδικό πρόσβασης. Η πιο ασφαλής επιλογή για την κλινική απώλειας βάρους είναι να διασφαλίσει ότι οι άνθρωποι πρέπει να εισέλθουν στα διαπιστευτήρια σύνδεσης πριν από την πρόσβαση σε οποιοδήποτε μέρος της πύλης “Μόνο μέλη”.
Μήνυμα για τις επιχειρήσεις: Σκεφτείτε τη δική σας μέθοδο επαλήθευσης για να προστατεύσετε τις ευαίσθητες πληροφορίες στο δίκτυό σας.
Στη συνέχεια στη σειρά: Αποθηκεύστε ευαίσθητα προσωπικά στοιχεία με ασφάλεια και προστατεύστε τα κατά τη διάρκεια της μετάδοσης.
