Maailmanlaajuinen salasanasi vaihtamispäivä: kehotus toimintaan

1. helmikuuta vietetään Global Change Your Password Day -päivää, joka perustettiin vuonna 2012 lisäämään tietoisuutta hyvistä salasanojen hallintakäytännöistä. Ei ole mikään salaisuus, että inhimilliset erehdykset ovat suurin syy tietoturvaloukkauksiin: vuoden 2022 tutkimus World Economic Forum havaitsi, että 95 % kyberturvallisuusongelmista johtuu virheistä.

Kun kyberuhat vain lisääntyvät, on tärkeämpää kuin koskaan, että yritykset ryhtyvät ennaltaehkäiseviin toimiin ihmisen aiheuttaman riskin vähentämiseksi, mukaan lukien salasanan hallinnan parantaminen.

Hyvän salasananhallinnan merkitys

Salasanat ovat kyberturvallisuuden ensimmäinen puolustuslinja – avaimet digitaaliseen etuoveemme. Hyvän salasanojen hallinnan pakottaminen on siksi olennainen osa liiketoimintariskien hallintastrategiaa. Heikot, helposti arvattavat salasanat lisäävät onnistuneiden tietomurtojen riskiä, ​​jolloin hakkerit pääsevät käsiksi yksityisiin sähköposteihin, verkkoihin ja arkaluontoisiin yritys- ja asiakastietoihin.

Tietosuojaus aiheuttaa myös maine- ja taloudellisia riskejä. IBM Tietomurron kustannukset 2023 Raportin mukaan tietomurron maailmanlaajuiset keskimääräiset kustannukset yritykselle olivat 4.5 miljoonaa dollaria, mikä on 15 prosenttia enemmän kuin vuonna 2020.

Myös mainevaurioilla voi olla merkittävä vaikutus. Vuonna 2018 Facebookin osakekurssi romahti yli 100 miljardilla dollarilla Cambridge Analytican tietomurron jälkeen. British Airways kärsi pudotuksen mainepisteissä ja osakekurssissa vuoden 2018 tietomurron jälkeen, jossa hakkerit pääsivät käsiksi lähes 500,000 XNUMX asiakkaan henkilökohtaisiin ja taloudellisiin tietoihin.

Lisäksi hyvä salasanasuojaus voi auttaa parantamaan vaatimustenmukaisuutta tietosuojasäännökset, kuten EU:n yleiset Tietosuoja-asetuksen (GDPR) ja tietoturvastandardit, kuten ISO 27001.

Salasanan hallinnan haasteet

Ihanteellisessa maailmassa jokaisella työntekijällä olisi yksilöllinen salasana jokaiselle kirjautumiselle. Käytännössä useiden eri salasanojen muistaminen ei ole käytännöllistä ja voi johtaa salasanan väsymiseen. Salasanakäytännön noudattamisen varmistaminen voi myös olla hankalaa. Hyvä paikka aloittaa on määrittää järjestelmäsäännöt salasanan pituudelle ja vaatia salasanojen päivittämistä tietyn ajan kuluttua.

Parhaat käytännöt yritysten salasanojen hallintaan

Organisaatiot voivat varmistaa, että ne noudattavat salasanasuojauksen parhaita käytäntöjä eri tavoilla:

Salasanan pituus ja monimutkaisuus

Harkitse vaatimusten asettamista, että salasanat ovat 12–20 merkin pituisia, ja niissä on useita pieniä ja isoja kirjaimia, erikoismerkkejä ja numeroita vahvuuden lisäämiseksi. Tutkimus tekijältä Carnegie Mellon Universityn CyLab Security and Privacy Institute havaitsi, että vähimmäisvahvuuden ja 12 merkin vähimmäispituuden vaatiminen loi hyvän tasapainon turvallisuuden ja käytettävyyden välillä.

Päivitä käytännöt

Vaikka Global Change Your Password Day on oikea-aikainen muistutus salasanojen päivittämisestä, sen ei pitäisi olla ainoa kerta, kun salasanoja vaihdetaan. Tietoturvaohjelmistoyritys McAfee suosittelee, että salasanat vaihdetaan kolmen kuukauden välein.

Salasanan uudelleenkäyttö

Työntekijöille voi olla houkuttelevaa käyttää samaa salasanaa useille tileille työympäristössään. Tämä kuitenkin lisää tilin haltuunoton riskiä. Jos uhkatekijällä on pääsy yhdelle tilille tällä salasanalla, heillä on käytännössä pääsy niihin kaikkiin. Työntekijöiden koulutus ja koulutus voivat auttaa vähentämään tätä riskiä estämällä salasanan uudelleenkäytöstä.

Salasanan hallintatyökalut

Riippumatta siitä, ovatko ne itsenäisiä tai sisällytetty selaimiin, nämä työkalut on suunniteltu kuromaan umpeen turvallisuuden ja käytettävyyden välistä kuilua – tallentamalla ja turvallisesti muistamalla vahvat, ainutlaatuiset salasanat jokaiselle sivustolle ja sovellukselle. On kuitenkin tärkeää huomata, että jos hakkeri pääsee käsiksi salasanojen hallintatyökaluun, hän pystyy vaarantamaan kaikki siihen tallennetut salasanat.

Monivaiheisen todennuksen käyttöönotto

Monitekstinen todentaminen (MFA) edellyttää, että käyttäjä toimittaa kaksi (tai useampaa) vahvistustapaa päästäkseen tilille. MFA voi esimerkiksi vaatia käyttäjää kirjautumaan sisään käyttäjätunnuksellaan ja salasanallaan ja antamaan sitten kertaluonteisen salasanan (OTP), joka lähetetään puhelimeen tekstiviestinä. Käyttäjän on annettava sekä salasanansa että kertakäyttöinen salasanansa päästäkseen tilille, mikä lisää ylimääräistä suojaustasoa.

MFA-tyyppejä on useita:

OTP:t ja aikaperusteiset OTP:t

OTP:t ovat vahva MFA-muoto, ja ne voidaan lähettää todennussovellusten, salasananhallintaohjelmien tai tekstiviestien (SMS) kautta. Kun salasana on käytetty, se ei ole enää voimassa uudelleen. Aikaperusteiset kertakäyttöiset salasanat (TOTP) lisäävät ylimääräistä suojaustasoa, koska ne ovat voimassa vain rajoitetun ajan.

OTP:iden ja TOTP:iden käyttäminen todennussovelluksen tai salasananhallinnan kanssa on turvallisempaa kuin niiden vastaanottaminen tekstiviestillä. Tekstiviestit ovat herkkiä SIM-hakkerointiin, sieppaushyökkäyksiin ja sosiaaliseen manipulointiin.

Sähköposti MFA

Sähköposti MFA tarkoittaa, että käyttäjän toinen todennustapa toimitetaan hänen sähköpostiosoitteeseensa. Vaikka tämä MFA-muoto on helppo ja helppokäyttöinen käyttäjille, se aiheuttaa samanlaisia ​​​​riskejä SMS OTP:ille, jos hakkeri pääsee käyttämään sähköpostitiliä, johon koodi toimitetaan.

Biometrinen MFA

Biometriset MFA-käytöt kasvot, sormenjälkiskannaus tai iirisskannaus käyttäjän henkilöllisyyden vahvistamiseksi ja voi olla vahva todennusmuoto. Sitä käytetään yleisesti matkapuhelimissa, koska käyttäjä voi määrittää biometriset tiedot sen sijaan, että käyttäisi PIN-koodia puhelimen lukituksen avaamiseen ja jopa turvallisten sovellusten, kuten autentikointi- ja henkilökohtaisten pankkisovellusten, käyttöön.

Vaikka biometrinen MFA on yksi vankimmista todennusmuodoista, käyttäjät voivat silti olla alttiita, jos heidän biometriset tietonsa varastetaan. Toisin kuin salasanoja, näitä tietoja ei voi nollata tai muuttaa.

Työntekijöiden koulutus ja politiikan täytäntöönpano

Yksi parannetun salasanasuojauksen suurimmista esteistä on inhimillisen virheen riski. Työntekijöiden koulutus on ratkaisevan tärkeää sen varmistamiseksi, että kaikki organisaation jäsenet tietävät huonoon salasananhallintaan liittyvät riskit ja heidän kyberturvallisuusvastuunsa. Olennaista on kuitenkin tarjota myös ratkaisuja, joiden avulla henkilökunta voi keskittyä työhönsä ja välttää salasanan väsymistä.

Kyberturvallisuuskoulutus

Investointi työntekijöiden kybertietoisuuskoulutukseen voi auttaa pitämään yrityksen turvassa ja varmistamaan, että henkilökunta pystyy havaitsemaan ja raportoimaan muut riskit, kuten tietojenkalasteluyritykset. Monien omistettujen koulutusalustojen avulla organisaatiot voivat järjestää kursseja koko liiketoiminnassa, seurata vaaditun koulutuksen suorittaneita ja lähettää automaattisesti sähköpostimuistutuksia jälkeenjääneille.

Salasanapolitiikka

Kehitä parhaiden käytäntöjen mukainen salasanakäytäntö ja kerro siitä koko yritykselle. Tämä voidaan tehdä kyberturvallisuuskoulutuksen ohella, jotta kaikki yrityksen työntekijät ymmärtävät politiikan taustalla olevaa päätöksentekoa ja parantavat työntekijöiden noudattamista.

Käytännöt voivat määrittää salasanan vähimmäispituuden, monimutkaisuuden, sallitut merkkityypit ja muut elementit. Kuten mainittiin, IT-tiimi voi myös määrittää työntekijöiden laitteet vaatimaan päivityksiä tietyn ajan, kuten 90 päivän, jälkeen.

Miten ISO 27001 ja muut viitekehykset voivat auttaa

Tietoturvakehykset, kuten ISO 27001, ja määräykset, kuten GDPR, edellyttävät yrityksiä ryhtymään toimiin salasanasuojauksen suhteen.

Esimerkiksi GDPR edellyttää yrityksiä käsittelemään henkilötietoja turvallisesti "asianmukaisin teknisin ja organisatorisin keinoin". ISO 27001: 2022 Liite A Ohjaus 5.17 edellyttää, että todennustiedot pidetään suojattuna. Ohjausohjeissa todetaan myös, että käyttäjien tulee valita vaikeasti arvattavat, vahvat salasanat alan standardien mukaisesti:

● Salasanat eivät saa perustua helposti saatavissa oleviin henkilökohtaisiin tietoihin, kuten nimiin tai syntymäpäiviin.
● Salasanat eivät saa perustua tietoihin, jotka voidaan helposti arvata.
● Salasanat eivät saa sisältää sanoja tai sanasarjoja, jotka ovat yleisiä.
● Käytä aakkosnumeerisia ja erikoismerkkejä salasanassasi.
● Salasanoilla on oltava vähimmäispituusvaatimus.

Viisi askelta salasanakäytännön parantamiseen

1) Tarkista nykyinen salasanakäytäntö

Tarkista organisaation nykyinen salasanakäytäntö. Tarvitseeko sitä päivittää tai parantaa? Jos nykyistä salasanakäytäntöä ei ole käytössä, kehitä sellainen alan standardien mukaisesti.

2) Kommunikoi eri puolilla liiketoimintaa

Varmista, että koko henkilökunta on tietoinen uusista tai päivitetyistä salasanakäytännöistä. Määrittele käytäntö ja miksi se on välttämätöntä, ja harkitse työntekijöiden kouluttamista rinnakkain. Organisaatioiden tulisi myös tarkastella koulutuspäälliköitä, jotta he voivat puolustaa politiikkaa muille.

3) Ota käyttöön salasananhallintatyökalut

Valitse hyväksytyt salasananhallintatyökalut. Hallintatyökalun käyttö keventää useiden eri tilien kirjautumistietojen muistamista, mikä parantaa työntekijöiden omaksumisen todennäköisyyttä.

4) Käytä MFA:ta

Ota MFA käyttöön lisätapana käyttäjien todentamiseen ja tietojenkalastelun riskin vähentämiseen.

5) Invest in Employee Education

Kouluta työntekijöitä noudattamaan uutta tai päivitettyä salasanakäytäntöä ja kouluta heitä käyttämään salasananhallinta- ja MFA-työkaluja. Tämä voi parantaa sisäänostoa ja auttaa henkilökuntaa ymmärtämään hyvän salasanan hallinnan tärkeyden.

On aika ryhtyä toimiin

Digitaalisessa maailmassamme yritysten on tärkeämpää kuin koskaan arvioida kyberturvallisuuttaan. Global Change Your Password Day on kehotus toimia yritysjohtajille. Nyt on aika tunnistaa ennakoivasti haavoittuvuusalueet, mukaan lukien huonot salasanakäytännöt, ja vähentää kyberuhkien aiheuttamaa riskiä yrityksille, datalle ja – laajemmin – ihmisille.

Oletko valmis ryhtymään toimiin yrityksesi turvaamiseksi ja salasanan hallinnan parantamiseksi? Opi kuinka tietoturvan hallintajärjestelmämme (ISMS) voi auttaa organisaatiotasi parantamaan suojausasentoa ja mukauttamaan salasanakäytäntöjä tehokkaiden tietoturvakehysten kanssa.