Para tornar mais difícil para os hackers blefarem em uma rede de computadores, as empresas cuidadosas seguem o conselho de começar com a segurança e exigem fortes práticas de autenticação.
Consideramos assentamentos da FTC, fechou investigações e as perguntas que obtemos das empresas sobre a implementação de uma boa autenticação “Higiene”. Aqui estão algumas dicas sobre o uso de procedimentos de autenticação eficazes para ajudar a proteger sua rede.
Insista em senhas longas, complexas e exclusivas.
A razão de uma senha de ser é fácil para um usuário lembrar, mas difícil para um fraudador descobrir. Escolhas óbvias como ABCABC, 121212 ou Qwerty são o equivalente digital de um sinal de “hack -me”. Além disso, os especialistas determinaram que as passagens ou senhas mais longas são geralmente mais difíceis de quebrar. A estratégia mais inteligente é que as empresas pensem em seus padrões, implementem requisitos mínimos e eduquem os usuários sobre como criar senhas mais fortes. Além disso, quando você instala software, aplicativos ou hardware em sua rede, computadores ou dispositivos, altere a senha padrão imediatamente. E se você projetar produtos que exigem que os consumidores usem uma senha, configure a configuração inicial para que eles tenham que alterar a senha padrão.
Exemplo: Um membro da equipe tenta selecionar folha de pagamento como a senha do banco de dados que inclui informações de folha de pagamento dos funcionários. A empresa configura seu sistema para rejeitar uma escolha óbvia como essa.
Exemplo: Para acessar a rede corporativa, uma empresa permite que os funcionários digitem seu nome de usuário e uma senha compartilhada comum a todos que trabalham lá. Os funcionários também podem usar essa senha compartilhada para acessar outros serviços no sistema, alguns dos quais contêm informações pessoais sensíveis. A política mais prudente seria exigir senhas fortes e exclusivas para cada funcionário e insistir em usar senhas diferentes para acessar aplicativos diferentes.
Exemplo: Em uma reunião da equipe, o gerente de TI de uma empresa oferece dicas para os funcionários sobre boa higiene de senha. Ela explica que as senhas de passas ou senhas mais longas são melhores do que as senhas curtas com base em palavras de dicionário padrão ou informações conhecidas (por exemplo, o nome de uma criança, um animal de estimação, um aniversário ou um time de esportes favorito). Ao estabelecer um padrão de senha corporativa mais segura e educar os funcionários sobre a implementá -lo, o gerente de TI está dando um passo para ajudar sua empresa a reduzir o risco de acesso não autorizado.
Armazene as senhas com segurança.
A primeira linha de defesa de uma empresa contra os ladrões de dados é uma força de trabalho treinada para manter as senhas em segredo. Mas mesmo a senha mais forte é ineficaz se um funcionário a gravar em uma nota pegajosa em sua mesa ou compartilhá -la com outra pessoa. Treine sua equipe para não divulgar senhas em resposta a telefonemas ou e -mails, incluindo aqueles que podem parecer vir de um colega. Os vigaristas são conhecidos por se passar por funcionários corporativos, falsificando números de telefone ou endereços de e -mail.
Uma senha comprometida representa um risco específico se puder ser usado para abrir a porta para informações ainda mais sensíveis – por exemplo, um banco de dados de outras credenciais de usuário mantidas na rede em texto liso e legível. Torne difícil para os ladrões de dados transformar uma adivinhação de senha da sorte em uma violação catastrófica dos dados mais sensíveis da sua empresa, implementando políticas e procedimentos para armazenar credenciais com segurança.
Exemplo: Um novo funcionário recebe uma ligação de alguém que afirma ser o administrador do sistema da empresa. O chamador pede que ele verifique sua senha de rede. Como o novo funcionário aprendeu sobre golpes de representação em uma orientação de segurança interna, ele se recusa a divulgar sua senha e, em vez disso, relata o incidente à pessoa apropriada na empresa.
Exemplo: Uma empresa mantém as credenciais do usuário e outras senhas em texto simples em um arquivo de processamento de texto em sua rede. Se os hackers obtivessem acesso ao arquivo, eles poderiam usar essas credenciais para abrir outros arquivos sensíveis na rede, incluindo um banco de dados protegido por senha das informações financeiras dos clientes. No caso de uma violação, a empresa poderia potencialmente reduzir o impacto da violação, mantendo informações sobre credenciais de uma forma mais segura.
Guarde contra ataques de força bruta.
Em ataques de força bruta, os hackers usam programas automatizados para adivinhar sistematicamente possíveis senhas. (Em um exemplo simples, eles tentam AAAA1, AAAA2, AAAA3, etc., até atacarem a sujeira.) Uma defesa contra um ataque de força bruta é um sistema configurado para suspender ou desativar as credenciais do usuário após um certo número de tentativas de login sem sucesso.
Exemplo: Uma empresa configura seu sistema para bloquear um usuário após um certo número de tentativas incorretas de login. Essa política acomoda o funcionário que elogia sua senha na primeira tentativa, mas digita -a corretamente no segundo, enquanto se protege contra ataques de força bruta maliciosa.
Proteja contas sensíveis com mais do que apenas uma senha.
Você precisou de senhas fortes e exclusivas, armazenou-as com segurança e eliminou as pessoas após várias tentativas de login malsucedidas. Mas para proteger contra acesso não autorizado a informações confidenciais, isso pode não ser suficiente. Consumidores e funcionários geralmente reutilizam nomes de usuário e senhas em diferentes contas on -line, tornando essas credenciais extremamente valiosas para os atacantes remotos. As credenciais são vendidas na Web Dark e usadas para perpetrar ataques de preenchimento de credenciais – um tipo de ataque em que hackers automaticamente e em larga escala, são roubados nomes de usuário e senhas em sites populares da Internet para determinar se algum deles trabalha. Alguns invasores cronometram suas tentativas de login de contornar restrições a log-ins mal sucedidos. Para combater os ataques de recheio de credenciais e outros assaltos on -line, as empresas devem combinar várias técnicas de autenticação para contas com acesso a dados confidenciais.
Exemplo: Uma empresa hipotecária exige que os clientes usem senhas fortes para acessar suas contas online. Mas, dada a natureza altamente sensível das informações em sua posse, ele decide implementar uma camada adicional de segurança. A empresa usa um código de verificação secreto gerado por um aplicativo de autenticação no smartphone do cliente e exige que o cliente insira esse código e use sua senha forte para acesso. Ao implementar essa proteção adicional, a empresa hipotecária reforçou a segurança em seu site.
Exemplo: Um provedor de serviços de email on -line requer senhas fortes. Mas também oferece aos consumidores a opção de implementar a autenticação de dois fatores por meio de uma variedade de meios. Por exemplo, o provedor de email pode gerar um código por texto ou chamada de voz. Ele também permite que os usuários insira uma chave de segurança em uma porta USB. Ao oferecer autenticação de dois fatores, o provedor de serviços de email apresenta aos usuários uma camada adicional de segurança.
Exemplo: Uma empresa de cobrança de dívidas permite que seus colecionadores trabalhem em casa. Para acessar a rede da empresa, que contém planilhas de informações financeiras sobre devedores, a empresa exige que os funcionários efetuem login em uma rede privada virtual, protegida por uma senha forte e um FOB chave que gera números aleatórios a cada seis segundos. Ao garantir o acesso remoto à sua rede com autenticação de vários fatores, a empresa melhorou seus procedimentos de autenticação.
Proteger contra o desvio de autenticação.
Hackers são um grupo persistente. Se eles não puderem entrar na entrada principal, tentarão outras portas e janelas virtuais para ver se outro ponto de acesso éAr. Por exemplo, eles podem simplesmente pular a página de login e ir diretamente para um aplicativo de rede ou web que deve estar acessível somente depois que um usuário atingiu os outros procedimentos de autenticação da rede. A solução sensata é se proteger contra as vulnerabilidades de desvio de autenticação e permitir a entrada apenas por meio de um ponto de autenticação que permite que sua empresa fique de olho em quem está tentando entrar.
Exemplo: Uma clínica de perda de peso possui uma página da Web disponível ao público, descrevendo seus serviços. Essa página também possui um botão de login que permite que os membros existentes insira seu nome de usuário e senha para acesso a um portal especial de “apenas membros”. Depois que eles estão com sucesso no portal de “membros apenas”, os membros podem navegar para outras páginas supostamente restritas, incluindo uma página personalizada de “rastrear meu progresso”, onde podem inserir seu peso, gordura corporal, pulso, rotas de corrida favoritas, etc. No entanto, se uma pessoa conhece o URL do URL da URL de um membro do meu progresso “, a pessoa que pode pular o Login e simplesmente digitar o URL de um membro do Url na página do meu progresso”, a Página de Rastrear o Url. Isso permite que a pessoa visualize as informações na página do membro sem precisar inserir um nome de usuário ou senha. A opção mais segura é para a clínica de perda de peso garantir que as pessoas entrem em credenciais de login antes de acessar qualquer parte do portal de “apenas membros”.
A mensagem para as empresas: pense nos seus procedimentos de autenticação para ajudar a proteger informações confidenciais em sua rede.
Próximo na série: Armazene informações pessoais sensíveis e proteja -as durante a transmissão.
