Co roku o tej porze muszę wypełnić wniosek o ubezpieczenie cybernetyczne mojej firmy i co roku jestem pytany, czy zachęcamy do używania silnych haseł i częstej ich zmiany. To pytanie naprawdę mnie niepokoi, ponieważ tak naprawdę nie powinniśmy często zmieniać haseł. Musimy raczej wybrać procesy uwierzytelniania, które odpowiednio odpowiadają zagrożeniom witryny; używanie hasła powinno być ostatnią rzeczą, której chcesz zaufać.
Najpierw pomyśl o informacjach i danych, które o Tobie przechowuje witryna internetowa. Witryny, którym chcemy zapewnić najlepszą ochronę, często mają najsłabszą ochronę. Jeśli możesz, zawsze dodaj uwierzytelnianie dwuskładnikowe, aby uzyskać dostęp do witryny. (Nie wszystkie uwierzytelnienia wieloskładnikowe są sobie równe, ale niektóre formy uwierzytelniania wieloskładnikowego są lepsze niż żadne. Jeśli zachęca to atakujących do pójścia gdzie indziej, wykonałeś swoją pracę.
Banki i organizacje finansowe często powolnie wdrażają oprogramowanie uwierzytelniające, więc musisz zadowolić się nazwą użytkownika, hasłem, a następnie narzędziem do uwierzytelniania dwuskładnikowego, zwykle wiadomością tekstową wysyłaną na smartfon. Chociaż chipy SIM smartfonów można sklonować (aby osoby atakujące mogły sfałszować Twój telefon i przechwycić wiadomości tekstowe), zdecydowana większość z nas wciąż lepiej radzi sobie z tym procesem. Poleganie wyłącznie na nazwie użytkownika i haśle w celu uzyskania dostępu do banku naraża Twoje konto na ryzyko.
Aby być uczciwym, nie wszystkie hasła są sobie równe. Jeśli ponownie użyłeś hasła na innej stronie internetowej lub do innego konta bankowego, jesteś bardziej narażony na ryzyko. Atakujący często kradną lub kupują repozytorium złamanych haseł lub skrótów haseł, a następnie próbują je ponownie wykorzystać w celu uzyskania dostępu do innych witryn. Jeśli otrzymałeś już powiadomienie o zresetowaniu hasła i nie próbowałeś zalogować się na konto, osoba atakująca prawdopodobnie próbuje wprowadzić hasło w witrynie. Więc nie używaj ponownie tego samego hasła w dowolnym miejscu.
Przez lata użytkownicy online byli proszeni o zmianę nazwy użytkownika, aby sprawdzić, czy witryna nie sprzedaje ich informacji gdzie indziej. Teraz widzę ten sam rodzaj zaleceń dotyczących wybierania haseł lub haseł. W Internecie jest bardzo zabawny film, który opisuje proces, którego ludzie używają do wybierania haseł. Zacząłeś od wybrania hasła, a potem używasz go wszędzie. Następnie, gdy witryna mówi, że jedna nie jest wystarczająco dobra, dodaje kolejną literę. Potrzebujesz więc znaku specjalnego (takiego jak wykrzyknik). Prawda jest taka, że nasze mózgi mogą przechowywać tylko określoną liczbę informacji, dlatego często używamy tego samego hasła lub jego odmiany w wielu witrynach.
Firma Microsoft często zaleca stosowanie kodów PIN zamiast haseł. Twierdzi, że kod PIN jest specyficzny dla urządzenia, więc jeśli atakujący ukradnie Twój kod PIN, musi również ukraść urządzenie. Z tym argumentem jest problem. Mam kilka urządzeń wymagających kodu PIN i muszę przyznać, że używam tego samego kodu PIN na wszystkich z nich, ponieważ nie pamiętam PIN-ów lepiej niż haseł. Według firmy Microsoft zaletą kodu PIN jest to, że „po utworzeniu kodu PIN ustanawia on relację zaufania z dostawcą tożsamości i tworzy asymetryczną parę kluczy używaną do uwierzytelniania”. Układ Trusted Platform Module (TPM) komputera przechowuje kod PIN. (Jeśli zastanawiasz się, dlaczego komputer z systemem Windows 10 prosił o użycie kodu PIN zamiast hasła, dzieje się tak dlatego, że system operacyjny zarejestrował, że ma sprzęt do obsługi tego procesu). Jeśli nie potrzebujesz lub nie chcesz mieć kodu PIN, możesz go usunąć. Naciśnij klawisz Windows i klawisz I, aby otworzyć Ustawienia. Wybierz konta, a następnie kliknij kontynuuj. W lewym okienku kliknij Opcje połączenia. W prawym okienku wybierz „Usuń” w sekcji PIN.
Wzrastają wysiłki na rzecz poprawy bezpieczeństwa w Internecie. Intuit niedawno zaczął wymagać hasła online nawet do zalogowania się do komputerowej wersji QuickBooks, jego oprogramowania do księgowości i księgowości. Osoby z plikiem QuickBooks, który zawiera poufne informacje, takie jak lista płac lub karty kredytowe, muszą również najpierw zalogować się za pomocą konta online. Przez lata użytkownicy komputerów stacjonarnych potrzebowali tylko nazwy użytkownika. Mimo to wielu użytkowników uważało, że zmiana wydawała się uciążliwa, zwłaszcza w połączeniu z nakazem zmiany hasła co 90 dni. (Ponownie chodzi o to, że zmiana hasła jest lepsza niż używanie lepszych haseł lub korzystanie z aplikacji Google Authenticator w celu uzyskania dostępu do konta Intuit.
Nawet jeśli jesteś małą firmą, możesz dodać uwierzytelnianie dwuskładnikowe do własnego dostępu do komputera, aby zwiększyć bezpieczeństwo. Na przykład Duo.com oferuje DUO za darmo do wdrożenia z mniej niż 10 użytkownikami. Zapewnia dwuskładnikowe ostrzeżenie dla smartfona, a nawet Apple Watch. Używam go w moim biurze do zdalnego dostępu, aby mieć pewność, że gdy ktoś zaloguje się spoza biura, musi odpowiedzieć na wiadomość na swoim telefonie, aby uzyskać dostęp. Łatwość obsługi pozwala mi zagwarantować bezpieczeństwo zdalnego dostępu i uniknąć nadmiernych zmian haseł.
Jeśli jesteś dostawcą lub agencją ubezpieczeń cybernetycznych, wysłuchaj mnie! Przestań prosić mnie o zmianę hasła. Zamiast tego zapytaj mnie, jaka jest moja ulubiona aplikacja wieloczynnikowa. Jest to najszybszy sposób na poprawę bezpieczeństwa dla większości użytkowników.
Prawa autorskie © 2022 IDG Communications, Inc.