Om het voor hackers moeilijker te maken om in computernetwerken in te breken, volgen voorzichtige bedrijven het advies van Begin met beveiliging En vereist sterke authenticatiepraktijken.
We hebben FTC-schikkingen, gesloten onderzoeken en vragen die we van bedrijven hebben ontvangen over het implementeren van goede authenticatie-“hygiëne” overwogen. Hier volgen enkele tips voor het gebruik van effectieve authenticatieprocedures om uw netwerk te helpen beschermen.
Dring aan op lange, complexe en unieke wachtwoorden.
De belangrijkste reden dat wachtwoorden bestaan, is dat ze gemakkelijk te onthouden zijn voor gebruikers, maar moeilijk te achterhalen voor fraudeurs. Voor de hand liggende keuzes zoals ABCABC, 121212 of qwerty zijn het digitale equivalent van het ‘hack me’-teken. Bovendien hebben experts vastgesteld dat langere wachtwoordzinnen of wachtwoorden over het algemeen moeilijker te kraken zijn. Een slimmere strategie is dat bedrijven nadenken over hun standaarden, minimumvereisten implementeren en gebruikers leren hoe ze sterkere wachtwoorden kunnen maken. Wanneer u software, applicaties of hardware op uw netwerk, computer of apparaat installeert, moet u bovendien onmiddellijk het standaardwachtwoord wijzigen. En als u een product ontwerpt waarbij consumenten een wachtwoord moeten gebruiken, configureer dan de begininstellingen zo dat ze het standaardwachtwoord moeten wijzigen.
Voorbeeld: Een medewerker probeert te stemmen loonlijst als een databasewachtwoord dat loongegevens van werknemers bevat. Het bedrijf heeft zijn systemen opgezet om dergelijke voor de hand liggende keuzes te verwerpen.
Voorbeeld: Om toegang te krijgen tot een bedrijfsnetwerk, laat een bedrijf zijn werknemers een gedeelde gebruikersnaam en wachtwoord invoeren die gemeenschappelijk zijn voor iedereen die daar werkt. Medewerkers mogen het gedeelde wachtwoord ook gebruiken om toegang te krijgen tot andere services in het systeem, waarvan sommige gevoelige persoonlijke informatie bevatten. Een verstandiger beleid zou zijn om voor elke werknemer sterke, unieke wachtwoorden te eisen en te eisen dat hij verschillende wachtwoorden gebruikt om toegang te krijgen tot verschillende applicaties.
Voorbeeld: Tijdens een personeelsvergadering gaf de IT-manager van het bedrijf medewerkers tips over goede wachtwoordhygiëne. Hij legt uit dat langere wachtwoordzinnen of wachtwoorden beter zijn dan korte wachtwoorden die zijn gebaseerd op standaardwoorden uit het woordenboek of bekende informatie (bijvoorbeeld de naam van een kind, huisdier, geboortedatum of favoriete sportteam). Door veiligere bedrijfswachtwoordstandaarden in te voeren en werknemers voor te lichten over de implementatie ervan, ondernemen IT-managers stappen om hun bedrijven te helpen het risico van ongeautoriseerde toegang te verminderen.
Bewaar wachtwoorden veilig.
De eerste verdedigingslinie van een bedrijf tegen datadieven bestaat uit personeel dat getraind is om wachtwoorden vertrouwelijk te houden. Maar zelfs het sterkste wachtwoord zal niet effectief zijn als een medewerker het op een notitie op zijn bureau schrijft of met anderen deelt. Train uw personeel om geen wachtwoorden bekend te maken bij het reageren op telefoontjes of e-mails, inclusief wachtwoorden die van collega’s lijken te komen. Het is bekend dat fraudeurs zich voordoen als bedrijfsfunctionarissen door telefoonnummers of e-mailadressen te vervalsen.
Gecompromitteerde wachtwoorden vormen een bijzonder risico als ze kunnen worden gebruikt om de deur te openen naar gevoeligere informatie, bijvoorbeeld een database met de inloggegevens van andere gebruikers die in platte tekst op het netwerk zijn opgeslagen en gemakkelijk te lezen zijn. Maak het moeilijk voor datadieven om een gelukkige wachtwoordgissing om te zetten in een grote inbreuk op de meest gevoelige gegevens van uw bedrijf door beleid en procedures te implementeren om inloggegevens veilig op te slaan.
Voorbeeld: Een nieuwe medewerker krijgt een telefoontje van iemand die beweert de systeembeheerder van het bedrijf te zijn. De beller vroeg hem zijn netwerkwachtwoord te verifiëren. Omdat de nieuwe medewerker op de hoogte was van de nabootsing van identiteit bij een interne beveiligingsorganisatie, weigerde hij zijn wachtwoord bekend te maken en rapporteerde hij het incident in plaats daarvan aan de juiste persoon bij het bedrijf.
Voorbeeld: Een bedrijf slaat gebruikersgegevens en andere wachtwoorden als platte tekst op in tekstverwerkingsbestanden op zijn netwerk. Als hackers toegang krijgen tot die bestanden, kunnen ze die inloggegevens gebruiken om andere gevoelige bestanden op het netwerk te openen, waaronder met een wachtwoord beveiligde databases met financiële informatie van klanten. Als er zich een inbreuk voordoet, kunnen bedrijven de impact van de inbreuk mogelijk verminderen door informatie over inloggegevens in een veiligere vorm te bewaren.
Bescherm tegen brute force-aanvallen.
Bij een brute force-aanval gebruiken hackers geautomatiseerde programma’s om systematisch mogelijke wachtwoorden te raden. (In een eenvoudig voorbeeld proberen ze aaaa1, aaaa2, aaaa3, etc., totdat ze slechte resultaten krijgen.) Eén verdediging tegen brute force-aanvallen is een systeem dat is ontworpen om gebruikersgegevens op te schorten of uit te schakelen na een bepaald aantal mislukte inlogpogingen.
Voorbeeld: Een bedrijf stelt zijn systeem in om gebruikers uit te sluiten na een bepaald aantal onjuiste inlogpogingen. Het beleid is geschikt voor werknemers die hun wachtwoord bij de eerste poging verkeerd typen, maar het bij de tweede poging correct typt, terwijl het beschermt tegen kwaadwillige brute force-aanvallen.
Bescherm gevoelige accounts met meer dan alleen wachtwoorden.
Je hebt een sterk, uniek wachtwoord nodig, bewaar het veilig en schop mensen eruit na een paar mislukte inlogpogingen. Maar bescherming tegen ongeoorloofde toegang tot gevoelige informatie is misschien niet genoeg. Consumenten en werknemers hergebruiken gebruikersnamen en wachtwoorden vaak voor meerdere online accounts, waardoor deze inloggegevens van onschatbare waarde zijn voor aanvallers op afstand. Inloggegevens worden op het dark web verkocht en gebruikt om credential stuffing-aanvallen uit te voeren – een soort aanval waarbij hackers automatisch en op grote schaal gestolen gebruikersnamen en wachtwoorden invoeren op populaire internetsites om te bepalen of deze werken. Sommige aanvallers timen hun inlogpogingen om de beperkingen op mislukte inlogpogingen te omzeilen. Om credential stuffing-aanvallen en andere online aanvallen tegen te gaan, moeten bedrijven meerdere authenticatietechnieken inbouwen voor accounts die toegang hebben tot gevoelige gegevens.
Voorbeeld: Hypotheekmaatschappijen eisen dat klanten sterke wachtwoorden gebruiken om online toegang te krijgen tot hun rekeningen. Maar gezien de zeer gevoelige aard van de informatie die ze bezaten, besloten ze een extra beveiligingslaag te implementeren. Het bedrijf gebruikt een geheime verificatiecode die wordt gegenereerd door een authenticatie-app op de smartphones van klanten en vereist dat klanten de code invoeren en een sterk wachtwoord gebruiken om toegang te krijgen. Door deze aanvullende beveiligingen te implementeren, hebben hypotheekbedrijven de veiligheid op hun sites vergroot.
Voorbeeld: Online e-mailserviceproviders hebben sterke wachtwoorden nodig. Maar het biedt consumenten ook de mogelijkheid om op verschillende manieren tweefactorauthenticatie te implementeren. Een e-mailprovider kan bijvoorbeeld coderen via sms of spraakoproep. Hiermee kunnen gebruikers ook een beveiligingssleutel in een USB-poort steken. Door tweefactorauthenticatie aan te bieden, bieden e-mailserviceproviders een extra beveiligingslaag aan gebruikers.
Voorbeeld: Incassobedrijven laten hun incassobureaus thuiswerken. Om toegang te krijgen tot het bedrijfsnetwerk, dat spreadsheets met financiële informatie over debiteuren bevat, vereist het bedrijf dat werknemers inloggen op een virtueel particulier netwerk, beschermd door een sterk wachtwoord en een sleutelhanger die elke zes seconden een willekeurig getal genereert. Door de toegang op afstand tot zijn netwerk te beveiligen met multifactor-authenticatie heeft het bedrijf zijn authenticatieprocedures verbeterd.
Bescherm tegen authenticatie-bypass.
Hackers zijn een hardnekkig stel. Als ze niet via de hoofdingang naar binnen kunnen, proberen ze andere virtuele deuren en ramen om te zien of er andere toegangspunten open zijn. Ze kunnen bijvoorbeeld de inlogpagina overslaan en rechtstreeks naar een netwerk of webapplicatie gaan die alleen toegankelijk mag zijn nadat de gebruiker andere netwerkauthenticatieprocedures heeft uitgevoerd. Een redelijke oplossing is om u te beschermen tegen kwetsbaarheden bij het omzeilen van authenticatie en inloggen alleen toe te staan via authenticatiepunten waarmee uw bedrijf in de gaten kan houden wie er probeert in te loggen.
Voorbeeld: Een kliniek voor gewichtsverlies heeft een openbare webpagina waarop de diensten worden uitgelegd. De pagina beschikt ook over een login-knop waarmee bestaande leden hun gebruikersnaam en wachtwoord kunnen invoeren voor toegang tot het speciale “Members Only”-portaal. Zodra ze succesvol zijn ingelogd op het ‘Members Only’-portaal, kunnen leden naar andere pagina’s navigeren die anders beperkt zouden zijn, waaronder een gepersonaliseerde ‘Track My Progress’-pagina waar ze hun gewicht, lichaamsvet, hartslag, favoriete hardlooproutes, enz. kunnen invoeren. Als iemand echter de URL kent van de ‘Track My Progress’-pagina van een lid, kan die persoon de inlogpagina omzeilen en eenvoudigweg de URL in de adresbalk typen. Hiermee kan de persoon informatie op de ledenpagina bekijken zonder een gebruikersnaam of wachtwoord in te voeren. Een veiligere optie is dat klinieken voor gewichtsverlies ervoor zorgen dat mensen hun inloggegevens moeten invoeren voordat ze toegang krijgen tot enig deel van het ‘Members Only’-portaal.
Bericht aan bedrijven: denk goed na over uw authenticatieprocedures om gevoelige informatie op uw netwerk te beschermen.
Volgende serie: Bewaar gevoelige persoonlijke informatie veilig en bescherm deze tijdens verzending.
