Tetap tergantung pada keamanan: membutuhkan kata sandi dan otentikasi yang aman
Agar sulit bagi bajak laut komputer untuk memasuki jaringan komputer, perusahaan yang cermat mengikuti saran untuk memulai dengan keamanan dan membutuhkan aplikasi otentikasi yang kuat.
Kami memikirkan penyelesaian FTC, investigasi tertutup dan pertanyaan tentang aplikasi “kebersihan” dari bisnis. Beberapa tips tentang penggunaan prosedur otentikasi identitas yang efektif untuk membantu melindungi jaringan Anda.
Bersikeras dengan kata sandi yang panjang, kompleks, dan unik.
Alasan kata sandi adalah mudah diingat pengguna, tetapi sulit untuk dipahami oleh scammer. Pemilihan yang jelas seperti ABCABC, 121212 atau QWERTY adalah setara digital dari tanda “Hack Me”. Selain itu, para ahli telah menentukan bahwa kata sandi atau kata sandi yang lebih lama seringkali lebih sulit. Strategi yang lebih cerdas adalah bahwa perusahaan berpikir tentang standar, persyaratan minimum, dan melatih pengguna tentang cara membuat kata sandi yang lebih kuat. Juga, ketika Anda menginstal perangkat lunak, aplikasi, atau perangkat keras di jaringan, komputer, atau perangkat Anda, segera ubah kata sandi default. Dan jika Anda merancang produk yang mengharuskan konsumen menggunakan kata sandi, konfigurasikan instalasi pertama untuk mengubah kata sandi yang diasumsikan.
Contoh: Mencoba memilih staf daftar gaji Sebagai kata sandi basis data yang berisi informasi penggajian yang berfungsi. Perusahaan menetapkan sistemnya untuk menolak pemilihan yang jelas.
Contoh: Untuk mengakses jaringan perusahaan, bisnis memungkinkan karyawan untuk menulis kata sandi umum untuk nama pengguna dan kata sandi bersama untuk siapa pun yang bekerja di sana. Karyawan juga diizinkan menggunakan kata sandi bersama untuk mengakses layanan lain dalam sistem yang berisi informasi pribadi yang sensitif. Kebijakan yang lebih berhati -hati adalah bersikeras menggunakan kata sandi yang berbeda untuk mengakses aplikasi yang berbeda, yang akan membutuhkan kata sandi yang kuat dan unik untuk setiap karyawan.
Contoh: Pada pertemuan personalia, manajer TI perusahaan menawarkan petunjuk tentang kebersihan kata sandi yang baik untuk karyawan. Passfras atau kata sandi yang lebih lama lebih baik daripada kata sandi pendek berdasarkan kata -kata kamus standar atau informasi yang diketahui dengan baik (misalnya, nama anak, hewan peliharaan, ulang tahun atau tim olahraga favorit). CT Manager mengambil langkah untuk membantu perusahaan mengurangi risiko akses tidak sah dengan membuat standar kata sandi perusahaan yang lebih aman dan melatih karyawan.
Simpan kata sandi dengan aman.
Garis pertahanan pertama terhadap pencuri data suatu perusahaan adalah angkatan kerja yang dilatih untuk menjaga kerahasiaan kata sandi. Namun, bahkan jika itu menulis catatan lengket di tabel karyawan atau membagikannya dengan orang lain, bahkan kata sandi yang paling kuat pun tidak efektif. Latih staf Anda sehingga mereka tidak mengungkapkan kata sandi sebagai tanggapan atas panggilan telepon atau e -mail, termasuk mereka yang tampaknya berasal dari kolega. Con Artists diketahui meniru otoritas perusahaan dengan meniru nomor telepon atau alamat e -mail.
Kata sandi yang pindah adalah risiko tertentu jika dapat digunakan untuk membuka pintu untuk informasi yang lebih sensitif – misalnya, database informasi identitas pengguna lain yang disimpan dalam jaringan lurus dan mudah dibaca. Sulit bagi pencuri data untuk menerapkan kebijakan dan prosedur untuk menyimpan informasi identitas dengan aman dan mengonversi kata sandi yang beruntung untuk mengubah data paling sensitif perusahaan Anda menjadi pelanggaran bencana.
Contoh: Seorang karyawan baru menerima telepon dari seseorang yang mengaku sebagai manajer sistem perusahaan. Penelepon memintanya untuk memverifikasi kata sandi jaringan. Karena karyawan baru belajar memiliki orientasi keamanan di rumah, ia menolak untuk menjelaskan kata sandi dan melaporkan kejadian tersebut kepada orang yang tepat di perusahaan.
Contoh: Perusahaan menyimpan informasi identifikasi pengguna dan kata sandi lainnya dalam teks datar dalam file pengolah kata di jaringan. Jika peretas memiliki akses ke file, mereka dapat menggunakan informasi identitas ini untuk membuka file sensitif lainnya di jaringan, termasuk database yang dilindungi kata sandi dari informasi keuangan pelanggan. Dalam hal pelanggaran, perusahaan berpotensi mengurangi efek pelanggaran dengan melindungi informasi tentang informasi identitas lebih aman.
Lindungi dari serangan brute force.
Dalam serangan Brete Force, bajak laut komputer menggunakan program otomatis untuk secara sistematis memprediksi kata sandi yang mungkin. (Dalam contoh sederhana, sampai pembayaran, kotoran menghantam AAAA1, AAAA2, AAAA3 dan sebagainya.
Contoh: Perusahaan mengatur sistem untuk mengunci pengguna setelah sejumlah upaya entri yang salah. Kebijakan ini berisi karyawan yang salah dalam upaya pertama, tetapi di tempat kedua di tempat kedua sambil melindungi terhadap serangan brute force jahat.
Lindungi akun sensitif dengan lebih dari sekadar kata sandi.
Anda membutuhkan kata sandi yang kuat dan unik, menyembunyikannya dengan aman dan menyelamatkan orang ke buku harian setelah mencoba serangkaian sesi yang gagal. Namun, ini mungkin tidak cukup untuk melindungi informasi sensitif terhadap akses yang tidak sah. Konsumen dan karyawan sering menggunakan kembali nama pengguna dan kata sandi di akun online yang berbeda dan membuat informasi identitas ini sangat berharga bagi penyerang yang jauh. Informasi identitas dijual di web gelap dan digunakan untuk mempertahankan informasi pengisian informasi identitas – memasuki situs web populer untuk menentukan apakah bajak laut komputer secara otomatis dan dalam skala besar, untuk menentukan apakah ada orang yang telah bekerja. Beberapa penyerang mempertahankan upaya untuk mengatasi pembatasan input yang tidak berhasil. Untuk memerangi serangan pengisian informasi identitas dan serangan online lainnya, perusahaan harus menggabungkan beberapa teknik otentikasi identitas untuk akun dengan akses ke data sensitif.
Contoh: Perusahaan hipotek mengharuskan pelanggan menggunakan kata sandi yang kuat untuk mengakses akun mereka secara online. Namun, mengingat sifat informasi yang sangat sensitif yang dimilikinya, ia memutuskan untuk menerapkan lapisan pengaman tambahan. Perusahaan menggunakan kode verifikasi tersembunyi yang dibuat oleh aplikasi identifikasi pada smartphone pelanggan dan mengharuskan pelanggan untuk memasukkan kode ini dan menggunakan kata sandi yang kuat untuk akses. Dengan menerapkan perlindungan tambahan ini, ia telah meningkatkan keamanan di situs perusahaan hipotek.
Contoh: Penyedia layanan e -mail online membutuhkan kata sandi yang kuat. Namun, ia juga menawarkan kepada konsumen opsi aplikasi otentikasi dua -faktor dengan berbagai kendaraan. Misalnya, penyedia E -Post dapat membuat kode dengan teks atau panggilan suara. Ini juga memungkinkan pengguna untuk menambahkan kunci pengaman ke port USB. Dengan memberikan otentikasi dua faktor, penyedia layanan email menyediakan lapisan pengaman tambahan kepada pengguna.
Contoh: Perusahaan pengumpulan utang memungkinkan kolektor untuk bekerja dari rumah. Untuk mengakses jaringan perusahaan, yang berisi informasi keuangan tentang peminjam, perusahaan mengharuskan karyawan untuk masuk di jaringan pribadi virtual yang dilindungi dengan kata sandi yang kuat dan FOB penting yang menghasilkan angka acak setiap enam detik. Perusahaan telah mengembangkan prosedur otentikasi identitasnya dengan memberikan akses jarak jauh ke jaringannya dengan otentikasi multi -faktor.
Lindungi otentikasi terhadap bypass.
Bajak laut komputer adalah grup permanen. Jika mereka tidak dapat memasuki pintu masuk utama, mereka akan mencoba pintu virtual dan jendela lainnya untuk melihat apakah titik akses lain adalah Ajar. Misalnya, mereka dapat melewatkan halaman login dan pergi ke jaringan atau aplikasi web yang harus dapat diakses setelah hanya satu pengguna yang memenuhi prosedur otentikasi identitas lain dari jaringan. Solusi logis adalah untuk melindungi terhadap identitas otentikasi yang memotong defisit keamanan dan untuk memungkinkan Anda untuk memasuki titik otentikasi yang memungkinkan perusahaan Anda untuk melihat lebih dekat dengan siapa yang mencoba masuk.
Contoh: Klinik penurunan berat badan memiliki situs web publik yang menjelaskan layanan klinik. Halaman ini juga berisi tombol input yang memungkinkan anggota yang ada untuk memasukkan nama pengguna dan kata sandi untuk akses ke portal “anggota” khusus. Setelah berhasil memasuki portal “hanya anggota”, anggota dapat pergi ke halaman “kemajuan” yang lain, termasuk halaman “kemajuan” yang dipersonalisasi di mana mereka dapat memasuki berat badan mereka, lemak tubuh, denyut nadi, rute lari favorit, jika seseorang mengetahui URL “mengikuti halaman kemajuan saya”, orang tersebut hanya dapat menulis URL dan menulis alamat URL dan alamatnya. Ini memungkinkan orang untuk menampilkan informasi di halaman anggota tanpa harus memasukkan nama pengguna atau kata sandi. Opsi yang lebih aman adalah memungkinkan orang memasukkan informasi masuk sebelum mencapai bagian mana pun dari portal “anggota” dari klinik penurunan berat badan.
Pesan untuk Bisnis: Pikirkan prosedur otorisasi identitas Anda untuk membantu melindungi informasi sensitif di jaringan Anda.
Seri berikutnya: Berikutnya: Sajikan informasi pribadi yang sensitif dengan aman dan lindungi selama transmisi.
