Większość nieskomplikowanych haseł okazuje się furtką dla hakerów. 51% użytkowników ma te same hasła do kont służbowych i osobistych. I pomimo, iż hasło stanowi dziś podstawowe zabezpieczenie danych, ponad 23 miliony osób używa numeru „123456″ do ochrony swoich kont. Co więcej – w tym roku słowo „hasło” było najczęściej używanym zwrotem w Wielkiej Brytanii, według NordPass. Nic więc dziwnego, że 90% internautów obawia się zhakowania – zauważa Muhammad Patel, inżynier bezpieczeństwa w firmie Check Point Software.
Eksperci wskazują, że przeciętny człowiek ma do zapamiętania nawet do 100 haseł. Nic więc dziwnego, że wiele osób ma poczucie bycia „przeładowanym”. Choć powinniśmy generować złożone hasła ze znakami i symbolami, to ludzki mózg szuka zwykle ścieżki najmniejszego oporu, co często skutkuje złymi praktykami bezpieczeństwa.
Wystarczy zhakowanie jednego konta, by cyberprzestępca mógł potencjalnie uzyskać dostęp do każdej używanej na nim aplikacji, w tym profesjonalnych narzędzi do współpracy, takich jak Teams, Slack i Outlook. Może to skutkować wyciekiem danych klientów, kosztownymi żądaniami okupu lub grzywnami lub całkowitą utratą zaufania klientów, często trudnym do odzyskania.
Jakie zapobiec takiemu zagrożeniu?
Organizacje powinny przyjąć również inne metody uwierzytelniania. Np. łącząc rozwiązania do ochrony wielu kont, takie jak aplikacje do uwierzytelniania dwuskładnikowego z danymi biometrycznymi, zmniejszysz szanse na udany atak, jednocześnie pomagając poprawić ogólny stan bezpieczeństwa w Twojej organizacji – uważa ekspert Check Pointa
Poprawa higieny haseł nie musi być skomplikowana, ale trzeba ją wdrożyć jak najszybciej, aby zminimalizować ryzyko ataku. Istnieją działania, które można już teraz podjąć, aby pomóc firmom rozwiązać powszechny problem niezabezpieczonych haseł:
- Zaimplementuj rozwiązanie do monitorowania kont: możesz chronić tylko to, co widzisz, dlatego ważne jest, aby mieć wgląd we wszystkie konta, które zostały naruszone w wyniku ataku. W przeciwnym razie, jak zamierzasz wprowadzić ulepszenia, aby zapobiec ponownemu wystąpieniu ataku? Stąd należy dokonać przeglądu domyślnych ustawień konta i włączyć funkcje, takie jak blokowanie konta po nieudanych próbach logowania. Nie chcemy przecież, aby atakujący miał nieograniczony czas lub nieograniczoną liczbę prób logowania, co pozwoliłoby mu włamać się do Twojej organizacji.
- Ochrona przed atakami typu phishing: gdy zapytano o doświadczenia z atakami typu phishing, 52% liderów ds. bezpieczeństwa stwierdziło, że doświadczyło w ten sposób naruszenia poświadczeń. Organizacje powinny zadać sobie podstawowe pytania: „w jaki sposób moje zabezpieczenia poczty e-mail przepuściły tę wiadomość phishingową?” „Czy system skutecznie blokuje i zapobiega tym starannie spreparowanym wiadomościom e-mail?” Jeśli nie, musisz zainwestować w technologię, która przede wszystkim powstrzyma złośliwe e-maile przed dotarciem do skrzynki pocztowej. Drugim krokiem jest znalezienie rozwiązania, które uniemożliwi użytkownikowi wprowadzenie swoich danych uwierzytelniających na stronie phishingowej. Takie rozwiązania istnieją, to tylko kwestia inwestycji i przyjęcia.
- Użyj menedżera haseł: Czasami posiadanie hasła jest obowiązkowym wymogiem, więc nie możesz polegać wyłącznie na innych metodach uwierzytelniania. Przeprowadź ocenę, aby zdecydować, czy menedżer haseł byłby odpowiedni dla Twojej organizacji. Menedżery haseł mają kilka zalet. Pozwalają pracownikom bezpiecznie przechowywać dane uwierzytelniające, generować unikalne hasła i mogą automatycznie uzupełniać pola na stronach internetowych. Eliminuje to poleganie na zapamiętywaniu setek haseł lub zapisywaniu ich.