Om het voor hackers moeilijker te maken om zich een weg te bluffen naar een computernetwerk, volgen zorgvuldige bedrijven het advies van Begin met beveiliging En vereisen sterke authenticatiepraktijken.
We hebben FTC-schikkingen, gesloten onderzoeken en de vragen die we van bedrijven krijgen over het implementeren van goede authenticatie-“hygiëne” overwogen. Hier volgen enkele tips voor het gebruik van effectieve authenticatieprocedures om uw netwerk te beveiligen.
Dring aan op lange, complexe en unieke wachtwoorden.
De bestaansreden van een wachtwoord is dat het voor een gebruiker gemakkelijk te onthouden is, maar voor een fraudeur moeilijk te achterhalen. Voor de hand liggende keuzes zoals ABCABC, 121212 of qwerty zijn het digitale equivalent van een ‘hack me’-teken. Bovendien hebben experts vastgesteld dat wachtwoordzinnen of langere wachtwoorden over het algemeen moeilijker te kraken zijn. De slimmere strategie is dat bedrijven nadenken over hun standaarden, minimumvereisten implementeren en gebruikers voorlichten over hoe ze sterkere wachtwoorden kunnen maken. Wanneer u software, applicaties of hardware op uw netwerk, computers of apparaten installeert, moet u ook onmiddellijk het standaardwachtwoord wijzigen. En als u producten ontwerpt waarbij consumenten een wachtwoord moeten gebruiken, configureer dan de initiële configuratie zo dat ze het standaardwachtwoord moeten wijzigen.
Voorbeeld: Een medewerker probeert te selecteren loonlijst als het wachtwoord voor de database die loongegevens van werknemers bevat. Het bedrijf heeft zijn systeem zo opgezet dat het een voor de hand liggende keuze als deze afwijst.
Voorbeeld: Om toegang te krijgen tot het bedrijfsnetwerk, laat een bedrijf werknemers hun gebruikersnaam en een gedeeld wachtwoord invoeren dat voor iedereen die daar werkt, geldt. Medewerkers mogen dat gedeelde wachtwoord ook gebruiken om toegang te krijgen tot andere services op het systeem, waarvan sommige gevoelige persoonlijke informatie bevatten. Het verstandiger beleid zou zijn om voor elke werknemer sterke, unieke wachtwoorden te eisen en erop aan te dringen dat zij verschillende wachtwoorden gebruiken om toegang te krijgen tot verschillende applicaties.
Voorbeeld: Tijdens een personeelsvergadering geeft de IT-manager van een bedrijf medewerkers tips over goede wachtwoordhygiëne. Ze legt uit dat wachtzinnen of langere wachtwoorden beter zijn dan korte wachtwoorden die zijn gebaseerd op standaardwoorden uit het woordenboek of bekende informatie (bijvoorbeeld de naam van een kind, een huisdier, een verjaardag of een favoriet sportteam). Door een veiliger bedrijfswachtwoordstandaard in te voeren en medewerkers te informeren over de implementatie ervan, zet de IT-manager een stap om haar bedrijf te helpen het risico op ongeautoriseerde toegang te verminderen.
Bewaar wachtwoorden veilig.
De eerste verdedigingslinie van een bedrijf tegen datadieven is personeel dat getraind is om wachtwoorden geheim te houden. Maar zelfs het sterkste wachtwoord is niet effectief als een medewerker het op een notitie op haar bureau schrijft of met iemand anders deelt. Train uw personeel om geen wachtwoorden bekend te maken in reactie op telefoontjes of e-mails, ook niet als deze van een collega afkomstig lijken te zijn. Het is bekend dat oplichters zich voordoen als bedrijfsfunctionarissen door telefoonnummers of e-mailadressen te vervalsen.
Een gecompromitteerd wachtwoord vormt een bijzonder risico als het kan worden gebruikt om de deur te openen naar nog gevoeligere informatie, bijvoorbeeld een database met andere gebruikersgegevens die in duidelijke, leesbare tekst op het netwerk wordt bijgehouden. Maak het dieven moeilijk om een gelukkige wachtwoordgok om te zetten in een catastrofale inbreuk op de meest gevoelige gegevens van uw bedrijf door beleid en procedures te implementeren om inloggegevens veilig op te slaan.
Voorbeeld: Een nieuwe medewerker krijgt een telefoontje van iemand die beweert de systeembeheerder van het bedrijf te zijn. De beller vraagt hem om zijn netwerkwachtwoord te verifiëren. Omdat de nieuwe medewerker op een interne beveiligingsafdeling hoorde over nabootsing van identiteit, weigert hij zijn wachtwoord bekend te maken en meldt hij het incident in plaats daarvan aan de juiste persoon in het bedrijf.
Voorbeeld: Een bedrijf bewaart gebruikersgegevens en andere wachtwoorden in platte tekst in een tekstverwerkingsbestand op zijn netwerk. Als hackers toegang zouden krijgen tot het bestand, zouden ze die inloggegevens kunnen gebruiken om andere gevoelige bestanden op het netwerk te openen, waaronder een met een wachtwoord beveiligde database met financiële informatie van klanten. In het geval van een inbreuk zou het bedrijf de impact van de inbreuk mogelijk kunnen verminderen door informatie over inloggegevens in een veiligere vorm te bewaren.
Bescherm uzelf tegen aanvallen met brute kracht.
Bij brute force-aanvallen gebruiken hackers geautomatiseerde programma’s om systematisch mogelijke wachtwoorden te raden. (In een eenvoudig voorbeeld proberen ze aaaa1, aaaa2, aaaa3, enz., totdat ze geld verdienen.) Eén verdediging tegen een brute force-aanval is een systeem dat is opgezet om gebruikersgegevens op te schorten of uit te schakelen na een bepaald aantal mislukte inlogpogingen.
Voorbeeld: Een bedrijf stelt zijn systeem zo in dat een gebruiker wordt uitgesloten na een bepaald aantal onjuiste inlogpogingen. Dat beleid is geschikt voor de werknemer die bij de eerste poging haar wachtwoord verkeerd typt, maar het bij de tweede poging correct typt, terwijl het beschermt tegen kwaadwillige brute force-aanvallen.
Bescherm gevoelige accounts met meer dan alleen een wachtwoord.
U heeft sterke, unieke wachtwoorden nodig, deze veilig opgeslagen en mensen uitgelogd na een aantal mislukte inlogpogingen. Maar om te beschermen tegen ongeoorloofde toegang tot gevoelige informatie is dat misschien niet voldoende. Consumenten en werknemers hergebruiken vaak gebruikersnamen en wachtwoorden voor verschillende online accounts, waardoor deze inloggegevens uiterst waardevol zijn voor aanvallers op afstand. Inloggegevens worden op het dark web verkocht en gebruikt om credential stuffing-aanvallen uit te voeren – een soort aanval waarbij hackers automatisch en op grote schaal gestolen gebruikersnamen en wachtwoorden in populaire internetsites invoeren om te bepalen of deze werken. Sommige aanvallers timen hun inlogpogingen om de beperkingen op mislukte inlogpogingen te omzeilen. Om credential stuffing-aanvallen en andere online aanvallen tegen te gaan, moeten bedrijven meerdere authenticatietechnieken combineren voor accounts met toegang tot gevoelige gegevens.
Voorbeeld: Een hypotheekbedrijf vereist dat klanten sterke wachtwoorden gebruiken om online toegang te krijgen tot hun rekeningen. Maar gezien de zeer gevoelige aard van de informatie waarover het beschikt, besluit het een extra beveiligingslaag te implementeren. Het bedrijf gebruikt een geheime verificatiecode die wordt gegenereerd door een authenticatie-app op de smartphone van de klant en vereist dat de klant die code invoert en zijn sterke wachtwoord gebruikt voor toegang. Door deze extra bescherming te implementeren, heeft het hypotheekbedrijf de veiligheid op zijn terrein vergroot.
Voorbeeld: Een online e-mailserviceprovider heeft sterke wachtwoorden nodig. Maar het biedt consumenten ook de mogelijkheid om tweefactorauthenticatie op verschillende manieren te implementeren. De e-mailprovider kan bijvoorbeeld een code genereren via sms of spraakoproep. Hiermee kunnen gebruikers ook een beveiligingssleutel in een USB-poort steken. Door tweefactorauthenticatie aan te bieden, biedt de e-mailserviceprovider gebruikers een extra beveiligingslaag.
Voorbeeld: Een incassobureau laat zijn incassobureaus thuiswerken. Om toegang te krijgen tot het netwerk van het bedrijf, dat spreadsheets met financiële informatie over debiteuren bevat, vereist het bedrijf dat werknemers inloggen op een virtueel particulier netwerk, beschermd door een sterk wachtwoord en een sleutelhanger die elke zes seconden willekeurige getallen genereert. Door de toegang op afstand tot zijn netwerk te beveiligen met multi-factor authenticatie, heeft het bedrijf zijn authenticatieprocedures verbeterd.
Bescherm tegen authenticatie-bypass.
Hackers zijn een hardnekkig stel. Als ze niet via de hoofdingang naar binnen kunnen, proberen ze andere virtuele deuren en ramen om te zien of er nog een toegangspunt op een kier staat. Ze kunnen bijvoorbeeld eenvoudigweg de inlogpagina overslaan en rechtstreeks naar een netwerk of webapplicatie gaan die pas toegankelijk mag zijn nadat een gebruiker aan de andere authenticatieprocedures van het netwerk heeft voldaan. De verstandige oplossing is om u te beschermen tegen kwetsbaarheden bij het omzeilen van authenticatie en alleen toegang toe te staan via een authenticatiepunt waarmee uw bedrijf nauwlettend in de gaten kan houden wie er probeert binnen te komen.
Voorbeeld: Een kliniek voor gewichtsverlies heeft een publiekelijk beschikbare webpagina waarin zijn diensten worden beschreven. Die pagina bevat ook een inlogknop waarmee bestaande leden hun gebruikersnaam en wachtwoord kunnen invoeren voor toegang tot een speciaal ‘Members Only’-portaal. Zodra ze succesvol zijn ingelogd op het “Members Only”-portaal, kunnen leden naar andere zogenaamd beperkte pagina’s navigeren, waaronder een gepersonaliseerde “Track My Progress”-pagina waar ze hun gewicht, lichaamsvet, hartslag, favoriete hardlooproutes, enz. kunnen invoeren. Als iemand echter de URL kent van de “Track My Progress”-pagina van een lid, kan die persoon de inlogpagina overslaan en eenvoudigweg de URL in de adresbalk typen. Hierdoor kan de persoon de informatie op de ledenpagina bekijken zonder een gebruikersnaam of wachtwoord in te voeren. De veiligere optie is dat de afslankkliniek ervoor zorgt dat mensen inloggegevens moeten invoeren voordat ze toegang krijgen tot enig deel van het ‘Members Only’-portaal.
De boodschap voor bedrijven: Denk goed na over uw authenticatieprocedures om gevoelige informatie op uw netwerk te beschermen.
Volgende in de serie: Bewaar gevoelige persoonlijke informatie veilig en bescherm deze tijdens verzending.
