Kuidas luua tõhus ja praktiline paroolipoliitika

{h1}

Arvutitehnoloogia edusammud tähendavad, et isegi keerukad paroolid saavad kergemini murda. Me täidame teid viimastel viisidel, et tagada teie teabe kaitse.

Igas suuruses ettevõtted peavad kontrollima juurdepääsu oma kohalikele võrkudele ja e-postile, pilvepõhistele teenustele ja teistele tundlikele süsteemidele. See tähendab paroolide määramist neile süsteemidele.

Ilmselgelt on raskem murda pikemaid ja keerukamaid paroole. Ja mida sagedamini parooli vahetate, seda vähem aega on ründajal seda ära arvata. Kõik teavad seda, eks?

Võib-olla nii. Aga nagu alati, on kurat detailides. Üldiselt, mida rohkem on „turvaline” parool, seda suurem on probleem, mis põhjustab töötajale selle kasutamist. Ühe äärmusliku võtme tegemiseks oleks kõige turvalisem salasõna väga pikk, täiesti juhuslik tähtede, numbrite ja tähemärkide järjest, mis muutuksid iga päev. Kuid selline poliitikavaldkondade koormus töötajatele ületab peaaegu alati mis tahes julgeolekuhüvitised.

Teisest äärmusest võib iga töötaja lihtsalt kasutada oma nime alalise paroolina, mis ei muutu ega aegu kunagi. Selline lähenemine muudab elu lihtsamaks, kuid see ei paku vaevu mingit turvalisust.

Pole ime, et reaalse maailma paroolipoliitikad kipuvad kuskil keskel langema. Aga kus?

Sellele küsimusele vastamiseks tuleb kõigepealt mõista, et arvutitehnoloogia areng tähendab, et "tugevad" paroolid ei ole nii tugevad kui varem. Näiteks 2010. aasta oktoobris suutis üks turvaline blogija, kes kasutas kergesti kättesaadavaid tööriistu, lüüa 14-kohalise parooli vaid 11 sekundi jooksul. Kuigi ärakasutamine ei ole nii hämmastav kui see kõlab (blogija kasutas teatud parooli kodeerimismeetodile omast nõrkust), illustreerib see ikka veel, kui haavatavad isegi näiliselt tugevad paroolid võivad tänapäeval olla nn „jõhkjõud” rünnakuid.

Lisaks on paljud nendel päevadel esinevad turvarikkumised phishing-rünnakute tulemus, kus töötajad on kuidagi löödud oma paroolide paljastamiseks. Sellised rünnakud kasutavad “sotsiaalset insenerit” taktikat, et veenda ohvreid, et ründaja on tegelikult kaastöötaja, ülemus, tehnilise toe töötaja või mõni muu volitatud kasutaja. Kui ründaja on veenev, annab ohver vabatahtlikult oma parooli. Ja parool, mille keegi loobub vabatahtlikult, on sama kasulik kui üldse mitte parool.

Mõlemad tegurid viivad mõne turvaeksperdi väljakutse tavapärasele tarkusele juhuslike, sageli muudetud paroolide osas. Näiteks Microsofti teadlase hiljutises uuringus jõuti järeldusele, et laialdaselt vastuvõetud paroolistandardite ignoreerimisel näitavad kasutajad, et kulutasuvuse seisukohast on suur tarkus: tugeva parooli valimine annab kasutajale väga vähe kasu, kuid sellel on märkimisväärne kulu. ”

Teisisõnu, paroolide turvalisuse osas "vale" asjaga tegevad kasutajad teevad ratsionaalsema valiku kui kasutajad, kes teevad "õiget" asja. See on võimas nõue ja see peaks julgustama ettevõtteid kaaluma täpselt, miks ja kuidas nad paroolipoliitikat rakendavad. Teisest küljest on siiski tõsi, et tugevad paroolid loovad ründajate vastu olulise kaitseliini; nende kõrvaldamine ei ole (ja ei tohiks olla) valik.

Niisiis, arvestades kõiki neid tegureid, kuidas saab teie ettevõte luua praktilise paroolipoliitika?

Kõigepealt kaaluge töötajate lubamist luua oma paroole, järgides mõningaid põhilisi turvajuhiseid, mitte nõuda, et nad kasutaksid teie määratud paroole. Töötajad võivad kasutada ka parooli genereerivaid veebisaite, et luua paroole, mis on nii turvalised kui ka kergesti mäletatavad; Näiteks külastas SafePasswd.com veebisaiti „cOnDoNe = 7:“, mis võimaldab lihtsalt meeldejäävat 10-kohalist parooli. See on mõttetu (ja seega turvalisem) parool, kuid sisaldab ka mõningaid looduslikke vihjeid, mis muudavad meeldetuletuse palju lihtsamaks.

Teine taktika on luua parool, mis põhineb kergesti mäletaval reeglil; töötajad peavad lihtsalt reeglit meeles pidama, mitte iga nende loodud parooli mäletama. Näiteks võite alustada algparooliga, nagu lemmiklaulu pealkirja esimesed tähed või teie laste initsiaalide kombinatsioon. Seejärel varjata seda veelgi, nihutades sõrme ühe tühiku võrra, kui kirjutate selle - "Oops I Did It Again" muutub "oIdIa" muutub "pOfOS". Seejärel lisage mõnele variatsioonile teenuse nimele, nagu ainult vokaale, ja vahetage need põhi parooliga.

Näiteks, kui soovite sisse logida SalesForce.com-sse, võib teie parool muutuda “paOefoOeS”. Lisage keskele number või märk - “pa2OefoOeS” või “paO! EfoOeS” - ja teil on parool, mida on raske meelde jätta ( või crack), kuid siiski võimalik meeles pidada ilma seda kirjutamata.

Tõenäoliselt on kõige lihtsam lähenemine varustada ettevõtte töötajad paroolihaldustarkvaraga. Selline tarkvara võib genereerida väga turvalisi paroole ja neid salvestada, kõrvaldades mälestuse probleemi. Need tööriistad võivad isegi automaatselt sisestada parooli parooli sisselogimisekraanile ja salvestada muud teavet, nagu nimed, aadressid ja krediitkaardi numbrid. (On tõsi, et Mac OS X ja Windowsil on sisseehitatud paroolihaldurid, kuid nad ei ole nii paindlikud kui spetsiaalne tarkvara ja need ei sisalda parooligeneraatorit.)

Populaarsed paroolihalduse tarkvara valikud hõlmavad Agile Web Solutions'i 1 parooli Windowsile, Macile ja mobiilseadmetele; avatud lähtekoodiga KeePass ja KeePassX mitmele platvormile; RoboForm for Windows; Ascendo DataVault Windowsi, Maci ja mobiilseadmete jaoks.

Kui igaühel on oma paroolid (või nende genereerimise viis), soovitavad eksperdid sisselogimiskatsete jaoks kehtestada „kolm lööki”. Teisisõnu, kui keegi sisestab kolm korda vale parooli, lukustatakse need süsteemist välja, kuni nad võtavad ühendust administraatoriga. See võib häirida mõningaid kasutajaid (eriti unustavaid!), Kuid see kaitseb teie süsteeme brutse jõuga rünnakute eest, mis vajavad tuhandeid või isegi miljoneid katseid, et parooli edukalt ära arvata.

Lõpuks tasub korrata, et mõned suurimad ohud paroolide turvalisusele nendel päevadel ei tule parooli krakkimise vahenditest; need pärinevad andmepüügist ja sotsiaalsetest insenerirünnakutest. Selle tulemusena peaks teie ettevõte alati koolitama töötajaid, et ära tunda ja vältida selliseid petuskeeme. Parim lahendus paroolide turvalisusele ei ole ainult tehnoloogia küsimus, vaid ka hea koolituse, töötajate teadlikkuse ja lihtsa vana mõistuse küsimus.

Igas suuruses ettevõtted peavad kontrollima juurdepääsu oma kohalikele võrkudele ja e-postile, pilvepõhistele teenustele ja teistele tundlikele süsteemidele. See tähendab paroolide määramist neile süsteemidele.

Ilmselgelt on raskem murda pikemaid ja keerukamaid paroole. Ja mida sagedamini parooli vahetate, seda vähem aega on ründajal seda ära arvata. Kõik teavad seda, eks?

Võib-olla nii. Aga nagu alati, on kurat detailides. Üldiselt, mida rohkem on „turvaline” parool, seda suurem on probleem, mis põhjustab töötajale selle kasutamist. Ühe äärmusliku võtme tegemiseks oleks kõige turvalisem salasõna väga pikk, täiesti juhuslik tähtede, numbrite ja tähemärkide järjest, mis muutuksid iga päev. Kuid selline poliitikavaldkondade koormus töötajatele ületab peaaegu alati mis tahes julgeolekuhüvitised.

Teisest äärmusest võib iga töötaja lihtsalt kasutada oma nime alalise paroolina, mis ei muutu ega aegu kunagi. Selline lähenemine muudab elu lihtsamaks, kuid see ei paku vaevu mingit turvalisust.

Pole ime, et reaalse maailma paroolipoliitikad kipuvad kuskil keskel langema. Aga kus?

Sellele küsimusele vastamiseks tuleb kõigepealt mõista, et arvutitehnoloogia areng tähendab, et "tugevad" paroolid ei ole nii tugevad kui varem. Näiteks 2010. aasta oktoobris suutis üks turvaline blogija, kes kasutas kergesti kättesaadavaid tööriistu, lüüa 14-kohalise parooli vaid 11 sekundi jooksul. Kuigi ärakasutamine ei ole nii hämmastav kui see kõlab (blogija kasutas teatud parooli kodeerimismeetodile omast nõrkust), illustreerib see ikka veel, kui haavatavad isegi näiliselt tugevad paroolid võivad tänapäeval olla nn „jõhkjõud” rünnakuid.

Lisaks on paljud nendel päevadel esinevad turvarikkumised phishing-rünnakute tulemus, kus töötajad on kuidagi löödud oma paroolide paljastamiseks. Sellised rünnakud kasutavad “sotsiaalset insenerit” taktikat, et veenda ohvreid, et ründaja on tegelikult kaastöötaja, ülemus, tehnilise toe töötaja või mõni muu volitatud kasutaja. Kui ründaja on veenev, annab ohver vabatahtlikult oma parooli. Ja parool, mille keegi loobub vabatahtlikult, on sama kasulik kui üldse mitte parool.

Mõlemad tegurid viivad mõne turvaeksperdi väljakutse tavapärasele tarkusele juhuslike, sageli muudetud paroolide osas. Näiteks Microsofti teadlase hiljutises uuringus jõuti järeldusele, et laialdaselt vastuvõetud paroolistandardite ignoreerimisel näitavad kasutajad, et kulutasuvuse seisukohast on suur tarkus: tugeva parooli valimine annab kasutajale väga vähe kasu, kuid sellel on märkimisväärne kulu. ”

Teisisõnu, paroolide turvalisuse osas "vale" asjaga tegevad kasutajad teevad ratsionaalsema valiku kui kasutajad, kes teevad "õiget" asja. See on võimas nõue ja see peaks julgustama ettevõtteid kaaluma täpselt, miks ja kuidas nad paroolipoliitikat rakendavad. Teisest küljest on siiski tõsi, et tugevad paroolid loovad ründajate vastu olulise kaitseliini; nende kõrvaldamine ei ole (ja ei tohiks olla) valik.

Niisiis, arvestades kõiki neid tegureid, kuidas saab teie ettevõte luua praktilise paroolipoliitika?

Kõigepealt kaaluge töötajate lubamist luua oma paroole, järgides mõningaid põhilisi turvajuhiseid, mitte nõuda, et nad kasutaksid teie määratud paroole. Töötajad võivad kasutada ka parooli genereerivaid veebisaite, et luua paroole, mis on nii turvalised kui ka kergesti mäletatavad; Näiteks külastas SafePasswd.com veebisaiti „cOnDoNe = 7:“, mis võimaldab lihtsalt meeldejäävat 10-kohalist parooli. See on mõttetu (ja seega turvalisem) parool, kuid sisaldab ka mõningaid looduslikke vihjeid, mis muudavad meeldetuletuse palju lihtsamaks.

Teine taktika on luua parool, mis põhineb kergesti mäletaval reeglil; töötajad peavad lihtsalt reeglit meeles pidama, mitte iga nende loodud parooli mäletama. Näiteks võite alustada algparooliga, nagu lemmiklaulu pealkirja esimesed tähed või teie laste initsiaalide kombinatsioon. Seejärel varjata seda veelgi, nihutades sõrme ühe tühiku võrra, kui kirjutate selle - "Oops I Did It Again" muutub "oIdIa" muutub "pOfOS". Seejärel lisage mõnele variatsioonile teenuse nimele, nagu ainult vokaale, ja vahetage need põhi parooliga.

Näiteks, kui soovite sisse logida SalesForce.com-sse, võib teie parool muutuda “paOefoOeS”. Lisage keskele number või märk - “pa2OefoOeS” või “paO! EfoOeS” - ja teil on parool, mida on raske meelde jätta ( või crack), kuid siiski võimalik meeles pidada ilma seda kirjutamata.

Tõenäoliselt on kõige lihtsam lähenemine varustada ettevõtte töötajad paroolihaldustarkvaraga. Selline tarkvara võib genereerida väga turvalisi paroole ja neid salvestada, kõrvaldades mälestuse probleemi. Need tööriistad võivad isegi automaatselt sisestada parooli parooli sisselogimisekraanile ja salvestada muud teavet, nagu nimed, aadressid ja krediitkaardi numbrid. (On tõsi, et Mac OS X ja Windowsil on sisseehitatud paroolihaldurid, kuid nad ei ole nii paindlikud kui spetsiaalne tarkvara ja need ei sisalda parooligeneraatorit.)

Populaarsed paroolihalduse tarkvara valikud hõlmavad Agile Web Solutions'i 1 parooli Windowsile, Macile ja mobiilseadmetele; avatud lähtekoodiga KeePass ja KeePassX mitmele platvormile; RoboForm for Windows; Ascendo DataVault Windowsi, Maci ja mobiilseadmete jaoks.

Kui igaühel on oma paroolid (või nende genereerimise viis), soovitavad eksperdid sisselogimiskatsete jaoks kehtestada „kolm lööki”. Teisisõnu, kui keegi sisestab kolm korda vale parooli, lukustatakse need süsteemist välja, kuni nad võtavad ühendust administraatoriga. See võib häirida mõningaid kasutajaid (eriti unustavaid!), Kuid see kaitseb teie süsteeme brutse jõuga rünnakute eest, mis vajavad tuhandeid või isegi miljoneid katseid, et parooli edukalt ära arvata.

Lõpuks tasub korrata, et mõned suurimad ohud paroolide turvalisusele nendel päevadel ei tule parooli krakkimise vahenditest; need pärinevad andmepüügist ja sotsiaalsetest insenerirünnakutest. Selle tulemusena peaks teie ettevõte alati koolitama töötajaid, et ära tunda ja vältida selliseid petuskeeme. Parim lahendus paroolide turvalisusele ei ole ainult tehnoloogia küsimus, vaid ka hea koolituse, töötajate teadlikkuse ja lihtsa vana mõistuse küsimus.


Video:


Et.HowToMintMoney.com
Kõik Õigused Reserveeritud!
Kordusprint Materjale On Võimalik Viidates Allikale - Veebileht: Et.HowToMintMoney.com

© 2012–2019 Et.HowToMintMoney.com