I dagens virtuelle verden er adgangskoder nøglerne, der låser eller låser op for adgangen til de vigtigste informationer samt virtuelle systemer i enhver organisation. Men rutinemæssig adgangskodefejl hos medarbejdere giver jævnligt adgang til hackere og kriminelle for at skabe ødelæggelse. Derfor er grundlaget for en stærk adgangskodepolitik, hvad enhver virksomhed eller organisation er bekymret for, hvis de ønsker, at deres oplysninger skal være sikre.
Relevansen af adgangskodepolitikker
Adgangskoder er det første trin i sikkerheden mod uautoriseret indtrængen i databaserne, der indeholder virksomhedsdata, kundeoplysninger, finansielle poster og andre kritiske aktiver. Brug af svage eller gamle adgangskoder vil gøre tingene lettere for hackere, fordi de kan trænge ind og stjæle data gennem metoder, herunder brute force-angreb, adgangskodespraying eller credential stuffing. Overvej disse alarmerende statistikker:
- Det har vist sig, at 81 % af hacking-relaterede brud bruger stjålne eller svage adgangskoder.
- Mens 59 % af befolkningen bruger den samme adgangskode til alle hjemmesider.
- 65 % af personerne har ikke ændret deres adgangskode i løbet af de seneste 12 måneder, mens 35 % af personerne gjorde det efter at have stødt på et brud.
Adgangskodepolitik er et grundlag, der dikterer acceptabel oprettelse og administration af adgangskoder blandt brugere. Det gør det muligt for folk at forudse processen for at sikre organisationen. Med den tekniske kontrol, der bliver strengt anvendt, mindsker en god politik i høj grad en fare for databrud, der kan skade din virksomhed alvorligt.
Hovedkomponenterne i en adgangskodepolitik
Men hvordan ville en effektiv adgangskodepolitik gøre dette?
- Adgangskoder som “password123” er i fortiden, de virker ikke længere. Din politik skal kræve adgangskoder på 8-12 tegn med øvre, nedre og specialtegn altid. Undgå desuden ofte brugte ord og sætninger.
- Medarbejdere må ikke bruge det samme password på de forskellige webressourcer. Hvis deres egen mailkonto er kompromitteret, og de bruger den samme adgangskode til at gennemse virksomhedsmapperne, kan dine følsomme virksomhedsdata også blive kompromitteret. Brug unikke adgangskoder til alle systemerne.
- Den seneste NIST-anbefaling understreger ikke længere de tvungne adgangskodeændringer, men mange af organisationerne betragter stadig den nødvendige ændring hver 60. til 90. dag som et værdifuldt skridt til tilstrækkelig beskyttelse. Det er en nem måde at nægte adgang til disse checkkonto-hackere, som måske har fået en gammel adgangslegitimation.
Multi-factor authentication (MFA) er en af de mest effektive måder, du kan forbedre din adgangskodepolitik på. Ved at kræve en anden faktor, der kan være et token, en mobilapp eller en biometrisk faktor, betyder det, at en adgangskode ikke vil være nok til at få adgang. Introducer MFA med særlig opmærksomhed på administratorkonti og fjernadgang.
- Det er udfordrende at huske en masse unikke, komplekse adgangskoder. Lever en kompleks adgangskodeadministrationsløsning på virksomhedsniveau, hvor adgangskodeadministratorer opbevarer legitimationsoplysninger sikkert og endda kan generere stærke adgangskoder automatisk.
- En politik er lige så god som de mennesker, der implementerer den. Sørg for, at personalet forstår politikken og deres vigtigste position i organisationens datasikkerhed. Forudse cybersikkerhedsbevidsthedstræning og send også ofte adgangskodetips.
Sikkerhed vs. Usability
Et af adgangskodepolitikkens problemer er at finde en perfekt balance mellem brugernes oplevelse og sikkerhedskravene for medarbejderne. Hvis politikken viser sig at være for kompleks eller medfører gnidninger, kan medarbejderne finde en vej uden om den eller skabe en risikabel ny løsning.
Hemmeligheden ligger i de politikker, der er kraftfulde nok til at virke og i mellemtiden ikke bliver komplicerede nok til at reducere produktiviteten. SSO (Single Sign-on) samt en adgangskodemanager, som er brugervenlig, kan anvendes for at reducere byrden på personalet, da disse elementer stadig vil opretholde en høj sikkerhedsstandard.
Sørg på samme måde for, at den særlige kontekst og risikoniveauet i din organisation også tages behørigt i betragtning, når de relevante politikker formuleres. Såsom virksomheder som finansielle institutioner eller hospitaler, som kan kræve strengere standarder end små detailbutikker. Sørg for, at du arbejder med medlemmer af IT- og sikkerhedsteamet for at bestemme dine egne individuelle behov.
Implementering af din adgangskodepolitik
En effektiv politik er noget, der håndhæves på et konsekvent grundlag. udefineret
- Opsæt netværk for at kræve stærke, komplekse adgangskoder og låse kendte/kompromitterede.
- Indstil begrænsninger for adgangskodens alder og skift automatisk adgangskoden efter en bestemt periode.
- Implementer kontolås for at beskytte mod brute force-angreb, når et vist antal mislykkede loginforsøg er nået.
- Introducer værktøjer til administration af privilegeret adgang, der er ansvarlige for at sikre og overvåge administratorkonti med særlige privilegier.[1]
Men teknologi er ikke alt. Det er afgørende, at du har buy-in fra ledergruppen, og du formidler politikken til medarbejderne. Giv løbende træning og vejledning for at træne dem i, hvad der forventes af dem. Den sidste, men ikke mindste del af sikringen af adgangskoder, er ikke at glemme at gå foran med et godt eksempel – ledere og it-medarbejdere bør være pionerer i at tilegne sig gode adgangskodevaner.
Angribere forbedrer altid deres strategier
En adgangskode er “beskyttet” i dag er muligvis ikke “sikker” i morgen. At være opmærksom på nye trusler og periodisk gennemgang og opdatering af din adgangskodepolitik er begge afgørende i denne sammenhæng.
Det er vigtigt at observere nye teknologier og den bedste praksis, du kan anvende, såsom adgangskodefri godkendelsesmetoder. Desuden skal du i tilfælde af et brud udføre en undersøgelse om det og identificere årsagen for at forhindre det i at gentage sig.
Ved at anvende en stærk adgangskodepolitik og fremme sikkerhedsbevidsthedskulturen kan du bevare organisationens intellektuelle ejendomsret og omdømme. Der kræves en indsats, og man skal være på vagt, men den mentale ro i slutningen er enhver besvær værd.