Om het voor hackers lastiger te maken een computernetwerk binnen te dringen, volgen zorgvuldige bedrijven de adviezen van Begin met veiligheid EN vereisen sterke authenticatiepraktijken.
We hebben gekeken naar FTC-schikkingen, afgesloten onderzoeken en vragen die we ontvangen van bedrijven over het implementeren van goede authenticatie-‘hygiëne’. Hier volgen enkele tips over hoe u effectieve authenticatieprocedures kunt gebruiken om uw netwerk te beschermen.
Dring aan op lange, complexe en unieke wachtwoorden.
Het hele punt van een wachtwoord is dat het voor een gebruiker gemakkelijk te onthouden is, maar voor een fraudeur moeilijk te begrijpen. Voor de hand liggende keuzes zoals ABCABC, 121212 of qwerty zijn het digitale equivalent van een ‘hack me’-teken. Bovendien hebben experts vastgesteld dat langere wachtwoordzinnen of wachtwoorden over het algemeen moeilijker te kraken zijn. De slimste strategie is dat bedrijven nadenken over hun standaarden, minimumvereisten implementeren en gebruikers leren hoe ze sterkere wachtwoorden kunnen maken. Wanneer u software, applicaties of hardware op uw netwerk, computers of apparaten installeert, wijzig dan onmiddellijk het standaardwachtwoord. En als u producten ontwerpt waarbij consumenten een wachtwoord moeten gebruiken, moet u de initiële configuratie zo instellen dat ze het standaardwachtwoord moeten wijzigen.
Voorbeeld: Een medewerker probeert te selecteren loonlijst als wachtwoord voor de database die loongegevens van werknemers bevat. Het bedrijf heeft zijn systeem zo opgezet dat het een voor de hand liggende keuze als deze afwijst.
Voorbeeld: Om toegang te krijgen tot het bedrijfsnetwerk, laat een bedrijf werknemers hun eigen gebruikersnaam en een gedeeld wachtwoord typen dat gemeenschappelijk is voor iedereen die er werkt. Medewerkers kunnen het gedeelde wachtwoord ook gebruiken om toegang te krijgen tot andere systeemdiensten, waarvan sommige gevoelige persoonlijke informatie bevatten. Het meest verstandige beleid zou zijn om voor elke werknemer sterke, unieke wachtwoorden te eisen en erop aan te dringen dat zij verschillende wachtwoorden gebruiken om toegang te krijgen tot verschillende applicaties.
Voorbeeld: Tijdens een personeelsvergadering geeft de IT-manager van een bedrijf medewerkers tips over een goede wachtwoordhygiëne. Leg uit dat langere wachtwoordzinnen of wachtwoorden beter zijn dan korte wachtwoorden die zijn gebaseerd op standaardwoorden uit het woordenboek of bekende informatie (bijvoorbeeld de naam van een kind, een huisdier, een verjaardag of een favoriet sportteam). Door een veiliger bedrijfswachtwoordstandaard in te stellen en medewerkers te informeren over de implementatie ervan, zet uw IT-manager een stap in de richting van het helpen van uw bedrijf om het risico op ongeautoriseerde toegang te verminderen.
Bewaar wachtwoorden veilig.
De eerste verdedigingslinie van een bedrijf tegen datadieven is personeel dat getraind is om wachtwoorden geheim te houden. Maar zelfs het meest complexe wachtwoord is niet effectief als een medewerker het op een notitie op zijn bureau schrijft of met iemand anders deelt. Train uw personeel om geen wachtwoorden uit te delen in reactie op telefoontjes of e-mails, ook niet als deze van een collega lijken te komen. Het is bekend dat oplichters zich voordoen als bedrijfsfunctionarissen door telefoonnummers of e-mailadressen te vervalsen.
Een gecompromitteerd wachtwoord vormt een bijzonder risico als het kan worden gebruikt om de deur te openen naar nog gevoeligere informatie, zoals een database met de inloggegevens van andere gebruikers die in duidelijke, leesbare tekst op het netwerk worden bijgehouden. Maak het moeilijk voor datadieven om van een gelukswachtwoord een catastrofale inbreuk op de meest gevoelige gegevens van uw bedrijf te maken door beleid en procedures te implementeren om inloggegevens veilig op te slaan.
Voorbeeld: Een nieuwe medewerker krijgt een telefoontje van iemand die beweert de systeembeheerder van het bedrijf te zijn. De beller vraagt hem om het netwerkwachtwoord te verifiëren. Omdat het nieuwe personeelslid tijdens een interne veiligheidsinspectie op de hoogte werd gesteld van identiteitsdiefstal, weigert hij zijn wachtwoord bekend te maken en meldt hij het incident in plaats daarvan aan de juiste persoon in het bedrijf.
Voorbeeld: Een bedrijf slaat gebruikersgegevens en andere wachtwoorden als platte tekst op in een tekstverwerkingsbestand op zijn netwerk. Als hackers toegang zouden krijgen tot het bestand, zouden ze die inloggegevens kunnen gebruiken om andere gevoelige bestanden op het netwerk te openen, waaronder een met een wachtwoord beveiligde database met financiële informatie van klanten. In het geval van een inbreuk zou het bedrijf de impact ervan kunnen verminderen door inloggegevens in een veiligere vorm op te slaan.
Bescherm uzelf tegen brute force-aanvallen.
Bij brute force-aanvallen gebruiken hackers geautomatiseerde programma’s om systematisch mogelijke wachtwoorden te raden. (In een eenvoudig voorbeeld proberen ze aaaa1, aaaa2, aaaa3, enz., totdat ze de beloning vinden.) Een verdediging tegen een brute force-aanval is een systeem dat is opgezet om de inloggegevens van de gebruiker op te schorten of uit te schakelen na een bepaald aantal mislukte inlogpogingen.
Voorbeeld: Een bedrijf stelt zijn systeem zo in dat een gebruiker wordt uitgesloten na een bepaald aantal onjuiste inlogpogingen. Dit beleid is geschikt voor de werknemer die het wachtwoord bij de eerste poging verkeerd typt, maar het bij de tweede poging correct typt, terwijl hij zichzelf beschermt tegen kwaadwillige brute force-aanvallen.
Bescherm gevoelige accounts met meer dan alleen een wachtwoord.
U had sterke, unieke wachtwoorden nodig, deze veilig opgeslagen en mensen uitgelogd na een reeks mislukte inlogpogingen. Maar om te beschermen tegen ongeoorloofde toegang tot gevoelige informatie is dit misschien niet voldoende. Consumenten en werknemers hergebruiken vaak gebruikersnamen en wachtwoorden voor verschillende online accounts, waardoor deze inloggegevens uiterst waardevol zijn voor aanvallers op afstand. Inloggegevens worden op het dark web verkocht en gebruikt om credential stuffing-aanvallen uit te voeren, een soort aanval waarbij hackers automatisch op grote schaal gestolen gebruikersnamen en wachtwoorden in populaire internetsites invoegen om te bepalen of deze werken. Sommige aanvallers timen inlogpogingen om de beperkingen op mislukte inlogpogingen te omzeilen. Om credential stuffing en andere online aanvallen tegen te gaan, moeten bedrijven meerdere authenticatietechnieken combineren voor accounts met toegang tot gevoelige gegevens.
Voorbeeld: Een hypotheekbedrijf vereist dat klanten sterke wachtwoorden gebruiken om toegang te krijgen tot hun online accounts. Maar gezien de zeer gevoelige aard van de informatie waarover hij beschikt, besluit hij een extra beveiligingslaag te implementeren. Het bedrijf gebruikt een geheime verificatiecode die wordt gegenereerd door een authenticator-app op de smartphone van de klant en vereist dat de klant die code invoert en zijn sterke wachtwoord gebruikt om in te loggen. Door deze extra bescherming te implementeren, heeft het hypotheekbedrijf de veiligheid van zijn site versterkt.
Voorbeeld: Een online e-mailserviceprovider heeft sterke wachtwoorden nodig. Maar het geeft consumenten ook de mogelijkheid om tweefactorauthenticatie op verschillende manieren te implementeren. Uw e-mailprovider kan bijvoorbeeld een code genereren via sms of spraakoproep. Hiermee kunnen gebruikers ook een beveiligingssleutel in een USB-poort steken. Door tweefactorauthenticatie aan te bieden, biedt de e-mailserviceprovider gebruikers een extra beveiligingslaag.
Voorbeeld: Een incassobureau laat zijn incassobureaus vanuit huis werken. Om toegang te krijgen tot het bedrijfsnetwerk, dat spreadsheets bevat met financiële informatie over debiteuren, vereist het bedrijf dat medewerkers inloggen op een virtueel particulier netwerk, beschermd door een sterk wachtwoord en een sleutelhanger die elke zes seconden willekeurige getallen genereert. Door externe toegang tot zijn netwerk te verlenen met multi-factor authenticatie heeft het bedrijf zijn authenticatieprocedures verbeterd.
Bescherm uzelf tegen het omzeilen van authenticatie.
Hackers zijn een hardnekkige groep. Als ze niet via de hoofdingang naar binnen kunnen, proberen ze andere virtuele deuren en ramen om te zien of er nog een toegangspunt op een kier staat. Ze kunnen bijvoorbeeld eenvoudigweg de inlogpagina overslaan en rechtstreeks naar een netwerk of webapplicatie gaan die alleen toegankelijk mag zijn nadat een gebruiker aan de andere authenticatieprocedures van het netwerk heeft voldaan. De verstandige oplossing is om uzelf te beschermen tegen kwetsbaarheden bij het omzeilen van authenticatie en alleen toegang toe te staan via een authenticatiepunt waarmee uw bedrijf in de gaten kan houden wie er probeert binnen te komen.
Voorbeeld: Een kliniek voor gewichtsverlies heeft een publiekelijk beschikbare webpagina waarin zijn diensten worden beschreven. Die pagina bevat ook een inlogknop waarmee bestaande leden hun gebruikersnaam en wachtwoord kunnen invoeren om toegang te krijgen tot een speciaal “Members Only” -portaal. Eenmaal ingelogd op het “Members Only”-portaal kunnen leden naar andere ogenschijnlijk beperkte pagina’s navigeren, waaronder een aangepaste “Track My Progress”-pagina waar ze hun gewicht, lichaamsvet, hartslag, favoriete hardlooproutes, enz. kunnen invoeren. Als iemand echter de URL kent van de “Track My Progress”-pagina van een lid, kan hij of zij de inlogpagina overslaan en eenvoudigweg de URL in de adresbalk typen. Hierdoor kan de persoon informatie op de ledenpagina bekijken zonder dat hij een gebruikersnaam of wachtwoord hoeft in te voeren. De veiligste optie is dat de afslankkliniek ervoor zorgt dat mensen hun inloggegevens moeten invoeren voordat ze toegang krijgen tot enig deel van het ‘Members Only’-portaal.
De boodschap voor bedrijven: denk goed na over uw authenticatieprocedures om gevoelige informatie op uw netwerk te beschermen.
Volgende in de serie: Bewaar gevoelige persoonlijke informatie veilig en bescherm deze tijdens verzending.
