Global Change Your Password Day: 'n Oproep tot aksie

1 Februarie is die Wêreldwye Verander Jou Wagwoord-dag, wat in 2012 gestig is om bewustheid van goeie wagwoordbestuurspraktyke aan te moedig. Dit is geen geheim dat menslike foute die hoofoorsaak van data-oortredings is nie: 'n 2022-studie deur die Wêreld Ekonomiese Forum gevind dat 95% van kuberveiligheidskwessies uit foute spruit.

Met kuberbedreigings wat net aanhou vermeerder, is dit belangriker as ooit tevore dat besighede voorkomende stappe neem om mensvormige risiko te versag, insluitend die verbetering van wagwoordbestuur.

Die belangrikheid van goeie wagwoordbestuur

Wagwoorde is die eerste verdedigingslinie in kuberveiligheid—die sleutels tot ons digitale voordeur. Die afdwinging van goeie wagwoordbestuur is dus 'n kritieke komponent van enige besigheidsrisikobestuurstrategie. Swak, maklik om te raai wagwoorde verhoog die risiko van suksesvolle data-oortredings, wat kuberkrakers in staat stel om toegang tot private e-posse, netwerke en sensitiewe korporatiewe en klantdata te verkry.

Data oortredings skep ook reputasie en finansiële risiko. Die IBM Koste van 'n data-oortreding 2023 verslag het bevind dat die wêreldwye gemiddelde koste van 'n data-oortreding vir 'n besigheid $4.5 miljoen was, 'n 15% toename sedert 2020.

Reputasieskade kan ook 'n beduidende impak hê. In 2018, Facebook se aandeelprys het gedaal met meer as $100 miljard ná die data-oortredingsvoorval waarby Cambridge Analytica betrokke was. British Airways 'n druppel gely in reputasietelling en aandeelprys ná 'n 2018-data-oortreding waarin kuberkrakers toegang tot die persoonlike en finansiële inligting van byna 500,000 XNUMX kliënte verkry het.

Boonop kan goeie wagwoordsekuriteit help om nakoming te verbeter databeskermingsregulasies soos die EU-generaal Regulasie beskerming van data (BBP) en inligtingsekuriteitstandaarde soos ISO 27001.

Wagwoordbestuuruitdagings

In 'n ideale wêreld sal elke werknemer 'n unieke wagwoord vir elke aanmelding hê. In die praktyk is die onthou van verskeie verskillende wagwoorde nie prakties nie en kan dit lei tot wagwoordmoegheid. Dit kan ook moeilik wees om voldoening aan wagwoordbeleid af te dwing. 'n Goeie plek om te begin is om stelselreëls vir wagwoordlengte op te stel en vereis dat wagwoorde na 'n sekere tyd opgedateer moet word.

Beste praktyke vir besigheidswagwoordbestuur

Organisasies kan verseker dat hulle die beste praktyke vir wagwoordsekuriteit op verskeie maniere volg:

Wagwoordlengte en kompleksiteit

Oorweeg dit om vereistes te stel dat wagwoorde tussen 12-20 karakters moet wees, met 'n reeks kleinletters en hoofletters, spesiale karakters en syfers vir groter sterkte. 'n Studie deur Carnegie Mellon Universiteit se CyLab Security and Privacy Institute gevind dat die vereiste van 'n minimum sterkte en 'n minimum lengte van 12 karakters 'n goeie balans tussen sekuriteit en bruikbaarheid geskep het.

Dateer beleide op

Alhoewel Global Change Your Password Day 'n tydige herinnering is om wagwoorde by te werk, behoort dit nie die enigste keer te wees wat wagwoorde verander word nie. Die sekuriteitsagtewaremaatskappy McAfee beveel aan dat wagwoorde elke drie maande verander moet word.

Wagwoord Hergebruik

Dit kan vir werknemers aanloklik wees om dieselfde wagwoord vir verskeie rekeninge binne hul werksomgewing te gebruik. Dit verhoog egter die risiko van rekeningoorname. As 'n bedreigingsakteur toegang het tot een rekening met daardie wagwoord, sal hulle effektief toegang tot almal hê. Werknemersopleiding en -opleiding kan help om hierdie risiko te verminder deur wagwoordhergebruik te ontmoedig.

Wagwoordbestuurnutsgoed

Hetsy selfstandig of ingesluit by blaaiers, hierdie nutsgoed is ontwerp om die gaping tussen sekuriteit en bruikbaarheid te oorbrug—deur sterk, unieke wagwoorde vir elke webwerf en toepassing te stoor en veilig te herroep. Dit is egter noodsaaklik om daarop te let dat as 'n kuberkraker toegang tot die wagwoordbestuursinstrument kry, hulle al die wagwoorde wat daarin gestoor is, sal kan kompromitteer.

Implementering van multi-faktor-verifikasie

Multi-faktor verifikasie (MFA) vereis dat die gebruiker twee (of meer) vorme van verifikasie verskaf om toegang tot 'n rekening te verkry. MFA kan byvoorbeeld vereis dat die gebruiker met hul gebruikersnaam en wagwoord aanmeld, en dan 'n eenmalige wagwoord (OTP) verskaf wat na hul foon gestuur is. Die gebruiker moet beide hul wagwoord en die eenmalige wagwoord verskaf om toegang tot die rekening te kry, wat 'n ekstra laag sekuriteit byvoeg.

Daar is verskeie tipes MFA:

OTP's en tydgebaseerde OTP's

OTP's is 'n sterk vorm van MFA en kan via verifikasieprogramme, wagwoordbestuurders of teksboodskappe (SMS) gestuur word. Sodra die wagwoord gebruik is, is dit nie meer geldig vir gebruik nie. Tydgebaseerde eenmalige wagwoorde (TOTP's) voeg 'n ekstra laag sekuriteit by omdat dit slegs vir 'n beperkte tyd geldig is.

Die gebruik van OTP's en TOTP's met 'n authenticator-toepassing of wagwoordbestuurder is veiliger as om dit per SMS te ontvang. SMS-boodskappe is vatbaar vir SIM-inbraak, onderskepaanvalle en sosiale ingenieurswese.

E-pos MFA

E-pos MFA behels dat die gebruiker se tweede vorm van stawing by hul e-posadres afgelewer word. Hierdie vorm van MFA, alhoewel dit maklik en toeganklik is vir gebruikers, hou soortgelyke risiko's in vir SMS OTP's indien 'n kuberkraker toegang het tot die e-posrekening waarheen die kode afgelewer word.

Biometriese MFA

Biometriese MFA gebruike gesig erkenning, 'n vingerafdrukskandering of 'n irisskandering om die gebruiker se identiteit te bekragtig en kan 'n sterk vorm van verifikasie wees. Dit word algemeen op selfone gebruik, aangesien die gebruiker biometrie kan opstel in plaas daarvan om 'n persoonlike identifikasienommer (PIN) te gebruik om die foon te ontsluit en dit selfs gebruik om toegang tot veilige toepassings soos verifikasie- en persoonlike banktoepassings te verkry.

Alhoewel biometriese MFA een van die meer robuuste vorme van verifikasie is, kan gebruikers steeds vatbaar wees as hul biometriese data gesteel word. Anders as wagwoorde, kan hierdie data nie teruggestel of verander word nie.

Werknemersopvoeding en beleidstoepassing

Een van die belangrikste struikelblokke vir verbeterde wagwoordsekuriteit is die risiko van menslike foute. Werknemersopvoeding is van kritieke belang om te verseker dat almal in die organisasie die risiko's wat verband hou met slegte wagwoordbestuur en hul kuberveiligheidsverantwoordelikhede ken. Dit is egter ook noodsaaklik om oplossings te verskaf wat personeel in staat stel om op hul werk te fokus en wagwoordmoegheid te vermy.

Kuberveiligheidsopleiding

Belegging in kuberbewustheidsopleiding van werknemers kan help om die besigheid veilig te hou en te verseker dat personeel ander risiko's kan raaksien en rapporteer, soos poging tot uitvissing-aanvalle. Baie toegewyde opleidingsplatforms stel organisasies in staat om kursusse regoor die besigheid te hou, te monitor wie die vereiste opleiding voltooi het en outomaties e-posherinneringe aan agterblyers te stuur.

Wagwoordbeleid

Ontwikkel 'n wagwoordbeleid wat in lyn is met beste praktyke, en kommunikeer daardie beleid regoor die besigheid. Dit kan saam met kuberveiligheidsopleiding gedoen word om almal in die maatskappy te help om die besluitneming agter die beleid te verstaan ​​en die nakoming van werknemers te verbeter.

Beleide kan minimum wagwoordlengte, kompleksiteit, toegelate karaktertipes en ander elemente spesifiseer. Soos genoem, kan die IT-span ook werknemerstoestelle opstel om opdaterings na 'n sekere tydperk, soos 90 dae, te vereis.

Hoe ISO 27001 en ander raamwerke kan help

Inligtingsekuriteitsraamwerke soos ISO 27001 en regulasies soos die GDPR vereis dat besighede optree oor wagwoordsekuriteit.

Die GDPR vereis byvoorbeeld van besighede om persoonlike data veilig te verwerk deur “toepaslike tegniese en organisatoriese maatreëls” te gebruik, terwyl Die ISO 27001: 2022 Bylae A Beheer 5.17 vereis dat verifikasie-inligting veilig gehou word. Die beheerleiding bepaal ook dat gebruikers moeilik raaibare, sterk wagwoorde moet kies in ooreenstemming met industriestandaarde:

● Wagwoorde moenie gebaseer wees op persoonlike inligting wat maklik verkry kan word nie, soos name of geboortedatums.
● Wagwoorde moet nie gegrond wees op inligting wat maklik geraai kan word nie.
● Wagwoorde moet nie woorde of rye woorde bevat wat algemeen voorkom nie.
● Gebruik alfanumerieke en spesiale karakters in jou wagwoord.
● Wagwoorde moet 'n minimum lengtevereiste hê.

Vyf stappe om wagwoordbeleid te verbeter

1) Oudit huidige wagwoordbeleid

Hersien die organisasie se bestaande wagwoordbeleid. Moet dit opgedateer of verbeter word? As daar nie 'n huidige wagwoordbeleid in plek is nie, ontwikkel een in ooreenstemming met industriestandaarde.

2) Kommunikeer regoor die besigheid

Maak seker dat alle personeel bewus is van nuwe of opgedateerde wagwoordbeleide. Definieer die beleid en hoekom dit noodsaaklik is, en oorweeg om werknemers in tandem op te lei. Organisasies moet ook kyk na opleidingsbestuurders sodat hulle die beleid aan ander kan voorstaan.

3) Implementeer wagwoordbestuurnutsmiddels

Kies goedgekeurde wagwoordbestuurnutsmiddels. Die gebruik van 'n bestuursinstrument verlig die las om verskeie verskillende geloofsbriewe vir verskillende rekeninge te onthou, wat die waarskynlikheid van werknemeropname verbeter.

4) Gebruik MFA

Implementeer MFA as 'n bykomende manier om gebruikers te staaf en die risiko van uitvissing te verminder.

5) Belê in Werknemersopleiding

Lei werknemers op om 'n nuwe of bygewerkte wagwoordbeleid te volg en leer hulle oor die gebruik van wagwoordbestuur en MFA-nutsgoed. Dit kan inkoop verbeter en personeel help om die belangrikheid van goeie wagwoordbestuur te verstaan.

Dit is tyd om aksie te neem

In ons digitale eerste wêreld is dit belangriker as ooit vir besighede om hul kuberveiligheid te ondersoek. Global Change Your Password Day dien as 'n oproep tot aksie vir sakeleiers. Dit is nou die tyd om proaktief areas van kwesbaarheid te identifiseer, insluitend swak wagwoordbeleide, en die risiko wat kuberbedreigings vir besighede, data en – by uitbreiding – mense inhou, te verminder.

Gereed om aksie te neem om jou besigheid te beveilig en jou wagwoordbestuur te verbeter? Leer hoe ons oplossing vir inligtingsekuriteitbestuurstelsel (ISMS) jou organisasie kan help om sekuriteitsposisie te verbeter en wagwoordbeleid in lyn te bring met kragtige inligtingsekuriteitsraamwerke.