Μικρομεσαίες επιχειρήσεις: Γιατί θα πρέπει να ασχοληθείτε με την προστασία των κωδικών πρόσβασης σας
Πως και γιατί οι επιτιθέμενοι κλέβουν τα passwords σας.
Οι κωδικοί πρόσβασης είναι ένα από τα βασικότερα μέτρα ασφαλείας. Σύμφωνα, όμως, με την παγκόσμια εταιρία κυβερνοασφάλειας ESET, για να μπορέσουν πλέον οι μικρομεσαίες επιχειρήσεις να τους διαχειριστούν και να τους χρησιμοποιήσουν με ασφάλεια, θα πρέπει να καταβάλουν μεγαλύτερη προσπάθεια απ’ ότι στο παρελθόν.
Γιατί πρέπει οι μικρομεσαίες επιχειρήσεις να δώσουν μεγάλη βαρύτητα στους κωδικούς πρόσβασης που χρησιμοποιούν
Αν είστε ιδιοκτήτης μικρομεσαίας επιχείρησης και νομίζετε ότι η εταιρεία σας δεν έχει κάτι που να ενδιαφέρει τους κυβερνοεγκληματίες, σκεφτείτε ξανά. Οι μικρομεσαίες επιχειρήσεις είναι το μήλο της έριδος για τους κυβερνοεγκληματίες ακριβώς γιατί επιχειρήσεις σαν τις δικές σας διαθέτουν πολύτιμα δεδομένα και περισσότερα περιουσιακά στοιχεία από ότι οι καταναλωτές, ενώ ταυτόχρονα είναι πιο ευάλωτες από τις μεγάλες επιχειρήσεις, οι οποίες διαθέτουν μεγαλύτερους προϋπολογισμούς σε θέματα ασφάλειας.
Για αυτό και θα πρέπει να δώσετε μεγάλη βαρύτητα στους κωδικούς πρόσβασης που χρησιμοποιείτε εσείς και οι εργαζόμενοι στην επιχείρησή σας.
Σύμφωνα με την έκθεση Data Breach Investigation Report 2017 της Verizon, έως και 81% των παραβιάσεων δεδομένων προκαλούνται από αδύναμους ή κλεμμένους κωδικούς πρόσβασης. Δεδομένου ότι περισσότερα από 5 δισεκατομμύρια κωδικοί πρόσβασης έχουν διαρρεύσει στο διαδίκτυο, η βασική προστασία με έναν κωδικό πρόσβασης είναι πλέον αναποτελεσματική.
Πως οι επιτιθέμενοι κλέβουν τους κωδικούς πρόσβασης (passwords)
- Για να παραβιάσουν τους κωδικούς πρόσβασης που χρησιμοποιείτε, οι απατεώνες εφαρμόζουν απλές τεχνικές. Μια από αυτές είναι η παρακολούθηση. Οι επιτιθέμενοι υποκλέπτουν τους κωδικούς πρόσβασης κρυφοκοιτάζοντας τα πιθανά θύματα την ώρα που τους πληκτρολογούν.
- Οι κυβερνοαπατεώνες εκμεταλλεύονται τις αδυναμίες της «ανθρώπινης φύσης» (πχ περιέργεια, άγνοια κλπ.) και εξαπατούν τα θύματά τους με την τεχνική της κοινωνικής μηχανικής. Χρησιμοποιώντας σα δόλωμα μια ηλεκτρονική φόρμα ή ένα email (επίθεση phishing) που φαίνεται να προέρχεται από έναν αξιόπιστο αποστολέα, οι επιτιθέμενοι καταφέρνουν να πείσουν ακόμη και καλά εκπαιδευμένους χρήστες να αποκαλύψουν τους κωδικούς πρόσβασής τους.
- Οι πιο απαιτητικές τεχνικές επίθεσης περιλαμβάνουν την υποκλοπή της κίνησης δικτύου των συσκευών που χρησιμοποιούν οι υπάλληλοι που δουλεύουν από απόσταση ή σε δημόσιο χώρο.
- Ένας από τους πιο δημοφιλείς τρόπους για να σπάσουν τους κωδικούς πρόσβασης που χρησιμοποιείτε είναι μια επίθεση brute force (επίθεση ωμής βίας). Σε αυτήν την περίπτωση, οι επιτιθέμενοι δοκιμάζουν εκατομμύρια συνδυασμούς κωδικών πρόσβασης σε σύντομο χρονικό διάστημα έως ότου βρεθεί ο σωστός κωδικός. Αυτός είναι ο λόγος για τον οποίο οι κωδικοί πρόσβασης πρέπει πλέον να είναι αρκετά μεγάλοι. Όσο πιο περίπλοκος είναι ο κωδικός πρόσβασης, τόσο περισσότερο χρόνο χρειάζεται για τον μαντέψουν οι κυβερνοεγκληματίες.
- Οι κυβερνοεγκληματίες που έχουν αποκτήσει πρόσβαση στο δίκτυο μιας εταιρείας μπορούν να χρησιμοποιήσουν κακόβουλο λογισμικό για να αναζητήσουν έγγραφα που περιέχουν κωδικούς πρόσβασης ή να εντοπίσουν τις πληκτρολογήσεις (keystrokes) των κωδικών και να στείλουν αυτές τις πληροφορίες στον C&C server τους.
Πως να δημιουργήσετε μια καλή πολιτική κωδικών πρόσβασης
Σύμφωνα με τη διεθνή εταιρία κυβερνοασφάλειας ESET, αν είστε ιδιοκτήτης μικρομεσαίας εταιρείας, μπορείτε να ακολουθήσετε συγκεκριμένες διαδικασίες για να διασφαλίσετε ότι η εταιρεία σας έχει αποτελεσματική πολιτική κωδικών πρόσβασης:
- Οι υπάλληλοί σας θα πρέπει να εκπαιδευτούν στο πώς να δημιουργούν δυνατούς κωδικούς πρόσβασης.
- Εάν διαθέτετε τμήμα IT, τότε αυτό θα πρέπει να εφαρμόζει κανόνες όταν αναπτύσσει και επιβάλλει μια συγκεκριμένη πολιτική κωδικών πρόσβασης.
- Εφαρμόστε πρόσθετα προστατευτικά μέτρα για την αύξηση της ασφάλειας των κωδικών πρόσβασης.
Τι άλλο μπορεί να κάνει η εταιρεία σας για να προστατέψει τους κωδικούς πρόσβασης
Για την καλύτερη προστασία των κωδικών πρόσβασης των υπαλλήλων της εταιρείας σας, μπορείτε να χρησιμοποιείτε τον έλεγχο ταυτότητας δύο παραγόντων (2FA). Σε αυτήν την περίπτωση, πέρα από το όνομα χρήστη και τον κωδικό πρόσβασης που χρησιμοποιεί ο εργαζόμενός σας, κατά τη διαμόρφωση του ελέγχου ταυτότητας δύο παραγόντων θα του ζητηθεί να επαληθεύσει την ταυτότητά του και με έναν κωδικό πρόσβασης μιας χρήσης. Με αυτόν τον τρόπο, προστατεύετε έτσι την πρόσβαση στα εταιρικά συστήματα ακόμη και σε περιπτώσεις που τα διαπιστευτήρια έχουν διαρρεύσει ή έχουν κλαπεί.
Καθώς συχνά τα SMS και οι κινητές συσκευές δέχονται επιθέσεις κακόβουλου λογισμικού, οι σύγχρονες λύσεις 2FA δεν χρησιμοποιούν επαλήθευση μέσω SMS. Αντίθετα, επιλέγουν push notifications, καθώς είναι πιο ασφαλείς και φιλικές προς το χρήστη.
Τέλος, για να αυξήσουν περαιτέρω την ασφάλεια της διαδικασίας ελέγχου ταυτότητας, οι οργανισμοί μπορούν να προσθέσουν βιομετρικά στοιχεία – κάτι που είναι ο χρήστης όπως πχ χρήση δακτυλικών αποτυπωμάτων – εφαρμόζοντας έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA).