Помогите своим страхователям и сотрудникам создать более надежные пароли, выполнив шесть простых шагов.
Компания NordPass, занимающаяся управлением паролями, проанализировала базу данных, содержащую около 500 миллионов паролей, которые были украдены в результате утечки данных в течение 2019 года, и составила список наиболее часто используемых паролей.
Сравнение этого списка с паролями за предыдущие 10 лет привело к тревожному выводу в США: пользователи не относятся к паролям всерьез. Ежегодно в первых 10 или 20 паролей в списке наиболее часто используемых паролей будут отображаться следующие записи: 12345, test1, qwerty, abc123, pass и admin.
Эксперты по безопасности могут бесконечно проповедовать о важности выбора надежных паролей, но, похоже, это малоэффективно. Может быть, это потому, что люди слышали эту тему так много раз, что она начинает звучать как ничего не значащая фраза типа «Бла, бла, бла, бла».
Уязвимость сети
Почему это должно иметь значение для страховых компаний? Есть несколько причин, одна из которых заключается в том, что сотрудники используют пароли для доступа к нескольким системам, чтобы выполнять свои обязанности в течение дня. Другая причина актуальна для ваших клиентов, которые создают свои собственные пароли для доступа к онлайн-банкингу и мобильным приложениям.
И даже если выбранные ими пароли не находятся на «стене позора», как перечисленные выше, многие люди используют один или два пароля для многих приложений. Если это так, вероятно, это уже небезопасно. Кроме того, анализ, проведенный компанией KnowBe4, занимающейся вопросами безопасности, показал, что 25% сотрудников используют один и тот же пароль для всех своих приложений - как личных, так и деловых, - что делает вашу сеть уязвимой.
Перечисленные выше пароли были раскрыты из-за утечки данных. Пароли можно получить и другими методами, такими как фишинговые электронные письма, покупки в темной сети, словарные атаки, когда хакерское программное обеспечение проверяет каждое слово в словаре, и программное обеспечение «грубой силы», которое угадывает каждую комбинацию символов. Последний метод позволяет взломать восьмизначный пароль менее чем за шесть часов.
Управление паролями действительно важно, особенно с учетом роста киберпреступности, утечки данных и хакерских схем в последние несколько лет, не говоря уже о мошенничестве, вызванном пандемией коронавируса.
Советы по паролю
Отфильтровывая все «бла, бла, бла» советы по паролю, вот несколько советов по созданию надежного пароля:
1. Используйте парольную фразу. При выборе пароля избегайте использования имен ваших детей или домашних животных, а также соседних символов клавиатуры. Личная информация, такая как годовщины или даты рождения, также не должна использоваться, поскольку эта информация широко доступна, особенно в социальных сетях. Фраза-пароль сложнее, чем отдельное слово с числами в конце. Вы даже можете извлечь запоминающиеся фразы из частей песни, строфы стихотворения или любимой цитаты из фильма. Помогает замена специальных символов, цифр или заглавных букв в необычных позициях. Например, ваша кодовая фраза может начинаться с «YouCannotPass». Но чтобы сделать его более сложным, это могло бы стать «Y0uC @ nn01Pa $$!»
2. Иметь разные пароли для работы и личной жизни. Даже если пароль действительно надежный, его никогда не следует использовать в офисе, если он также используется для личных приложений. Если сотрудник открывает на своем домашнем компьютере вредоносное электронное письмо, которое получает доступ к информации о пароле, вы действительно не хотите, чтобы из-за этого сеть компании была уязвимой.
3. Требовать более длинные пароли. Как отмечалось выше, длина пароля связана с безопасностью пароля и даже может продлить срок его службы. Чем больше символов содержится в пароле, тем больше времени требуется хакерам, чтобы успешно взломать код. Таким образом, система, требующая 12-значного пароля, может потребовать сброса только через 90 дней, а не каждые 30 дней для более коротких паролей. Однако в последнее время существующие системы безопасности и очень крупные компании начинают применять политику бессрочных паролей длиной более 20 символов. Когда дело доходит до определения требований к длине и сроку службы ваших паролей, учитывайте свои предпочтения и политики, а также политику поставщиков.
4. Обратите внимание на разницу между 2FA и MFA. Есть три фактора аутентификации: знание, обладание и принадлежность. Знания - это то, что должен знать только пользователь, например, пароль. Владение - это то, что есть только у пользователя, например мобильный телефон, который может получать одноразовый код для аутентификации. Наконец, принадлежность - это характеристика или черта, уникальная только для пользователя. Обычно это биометрические факторы, такие как отпечатки пальцев и сканирование сетчатки глаза. Исходя из этих факторов, для MFA потребуется как минимум две разные формы аутентификации, но эти формы могут относиться или не относиться к одной и той же категории аутентификации.
Например, MFA может быть паролем (знание) и отпечатком пальца (принадлежность), или это может быть пароль (знания) и секретный вопрос (знания). Для сравнения, 2FA также потребует двух факторов аутентификации, но эти формы должны быть от разных факторов. Например, 2FA - это пароль (знания) и одноразовый код (владение). Вообще говоря, 2FA считается более безопасным, чем MFA, поскольку он добавляет дополнительную сложность процессу входа в систему, вынуждая использовать различные факторы аутентификации. Определите, какой метод лучше всего подходит для защиты конфиденциальной информации и систем вашей компании.
5. Воспользуйтесь менеджером паролей. Одна из причин, по которой люди регулярно совершают «грех» использования одного и того же пароля в нескольких системах, заключается в том, что слишком сложно запомнить так много разных паролей. И чтобы добавить жути ко всему, что связано с персональными паролями, нам всем сказали не записывать их нигде. Менеджер паролей похож на цифровой сейф для различных паролей. Доступно множество бесплатных онлайн-опций. В этом случае использование одного пароля, означает, что вам нужно запомнить только один пароль - тот, который разблокирует менеджер паролей.
6. Требовать одинаковых критериев пароля для внутренних систем и систем, предназначенных для пользователей. Все приведенные выше советы относятся к безопасности паролей в филиале, а также в жизни ваших клиентов. Более длинные и сложные пароли с определенным сроком действия необходимы как для внутренних систем, так и для систем, ориентированных на участников.
Другими словами, если вам требуется, чтобы ваш персонал создавал пароли минимум из 12 символов, используя комбинацию прописных и строчных букв, цифр и специальных символов, срок действия которых истекает через 90 дней, те же стандарты должны быть действительны для ваших клиентов. В конце концов, существуют требования к паролю, чтобы защитить их финансовую информацию в бэк-офисе и фронт-офисе.
Постоянная бдительность
Хакеры усердно работают над созданием новых способов кражи информации. С самого начала пандемии они наживаются на повышенной тревоге потребителей и увеличивающихся сбоях в повседневной жизни. Для защиты от них будут разработаны новые процедуры безопасности, но надежные пароли - это первый и самый основной шаг в надежной защите. Эти шесть простых шагов, вместо того, чтобы просто говорить о том, что можно и что нельзя делать с паролями, могут дать вашему бизнесу и вашим клиентам успех в борьбе с киберпреступностью.
Подготовлено порталом Allinsurance.kz