5 sfaturi pentru o parolă puternică, într-o lume a hackerilor
Ran Tamir, VP Products
Îți vine să crezi că 81% dintre breșele de securitate reprezintă consecința directă a parolelor sparte? Această statistică, furnizată de Verizon Data Breach Investigations evidențiază importanța extremă a implementării unor parole puternice la fiecare punct de intrare, pentru a încerca descurajarea hackerilor în a se infiltra in sistem.
Experiența ne-a arătat că în majoritatea breșelor factorul uman a fost veriga slabă a securității – mai ales parolele vulnerabile care pot fi sparte cu ușurință de către atacatori. Multe parole slabe – și asta este valabil peste tot, în întreaga lume – se bazează pe cuvinte simple, care sunt foarte ușor de spart pentru atacatori, fiind folosite ulterior pentru a pătrunde în baza de date personale. Este incredibil că parolele reprezintă încă cea mai folosită metodă de autentificare și ”Password1” este parola cea mai des întâlnită. În timp ce această parolă îndeplinește majoritatea politicilor organizaționale (cel puțin 8 caractere, mix de majuscule / litere mici și o cifră), poate fi spartă ușor, în doar câteva secunde.
Soluția noastră automată de testare a penetrării rețelei arată că un procent semnificativ de parole este ușor de spart de către atacatori; și asta pentru că aflarea credențialelor reprezintă una dintre cele, dacă nu chiar cea mai ușoară modalitate a unui atacator de a pătrunde în rețea. Descoperirea credențialelelor este o tehnică obișnuită de atac, având în vedere mai ales faptul că aceleași credențiale pot fi folosite ulterior pentru spargerea altor parole pentru a obține acces în interiorul organizației. În realitate, 20% dintre parole sunt banale (pot fi sparte de software în doar câteva secunde) iar alte 50% pot fi sparte folosind GPU-uri puternice, în doar câteva ore.
Pcysys folosește un software algoritmic de testare, care oferă companiilor o imagine clară a perspectivei atacatorului. Facem acest lucru prin imitarea tehnicilor hacker-ului de a încerca și a găsi cea mai ușoară cale (etică) de a pătrunde în organizație. Sistemul efectuează ulterior mișcări laterale și escaladarea privilegiilor la fel cum ar face un atacator, cu scopul de a ajuta organizația să înteleagă care sunt punctele cibernetice slabe și cum să determine modul de aplicare a remedierii prioritare, din punct de vedere al costurilor, pentru a spori rezistența cibernetică la nivelul întregii organizații.
În multe cazuri, clientul vede în raportul Pcysys că una dintre cele 3 vulnerabilități de top identificate are legătură cu parolele slabe din cadrul organizatiei. Mulți dintre clienții noștri își dau seama că o opțiune de remediere imediată și critică este aceea de a impune și de a educa angajații să folosească parole puternice. De asemenea, ei văd cât de importantă este implementarea mai multor măsuri de securitate în jurul autentificării utilizatorului, cu accent pe „Utilizatorii privilegiați”.
Iată 5 propuneri pe care atât companiile cât și persoanele fizice ar trebui să le implementeze pentru a-și asigura securitatea parolelor:
#1 Nu folosiți cuvinte obișnuite, din dicționar – Ex: Password1, Football01. Este inclusă aici și utilizarea unei substituții simple de la cifre la litere – Ex: Pa$$word1, F00tball01 – acestea sunt ușor de spart de către instrumentele de atac de tip dicționar.
#2 Nu folosiți litere sau cifre secvențiale în parole. Ex: 123456, abcdef (o parolă de tipul Ab123456 este practic o parolă de 2 caractere).
#3 Nu folosiți numele dvs sau numele de utilizator ca parte a parolei și/sau alte date personale care pot fi obținute ușor prin intermediul rețelelor de socializare (ex. numele copiilor sau ale animalelor de companie).
#4 Utilizați un număr mai mare de caractere cu un mix de litere mari și mici și caractere speciale – lungimea parolei este cheia pentru o parolă puternică. Luați în considerare folosirea frazelor care au număr ridicat de caractere, dar totuși sunt ușor de amintit, precum și caractere speciale. Ex: ILikeMarsBars!!
#5 Încercați pe cât posibil să mențineți parola imprevizibilă: un număr sau un caracter special în mijlocul parolei, cuvinte cu greșeli de tipar, etc. Ex: ILike4FourNumbers!, Ihave2Twokidz
Pentru companii:
- Educare, educare, educare! Educați-vă utilizatorii, mai ales pe cei privilegiați, cu privire la impactul folosirii parolelor slabe și cât de ușor pot fi sparte.
- Luați în considerare utilizarea autentificării cu mai mulți factori, cu focus pe utilizatorii privilegiați și consolidarea proceselor de autentificare bazate pe risc sau tipul operațiunii.
- Luați în considerare modificarea politicii companiei în scopul schimbării parolei la fiecare 90 de zile. Educați-vă utilizatorii și impuneți folosirea parolelor mai lungi și mai puternice. Obligarea angajaților în a-și schimba parolele în mod frecvent duce la determinarea acestora de a folosi parole ușor de spart, după tipare previzibile, precum modificarea din ”Password1” în ”Password2”.
Abilitatea hackerilor în spargerea parolelor s-a dezvoltat enorm în ultimii ani. Accesul facil la puterea de calcul și GPU-urile la scară largă au schimbat complet peisajul în ceea ce privește abilitatea unui hacker de a sparge parole și de a obține accesul facil în interiorul organizației. Puteți avea cea mai bună apărare cibernetică, dar dacă cheile voastre sunt previzibile de spart, acestea vor reprezenta un punct vulnerabil de intrare a atacatorilor în rețea.