A jelszavakkal kapcsolatban minden kényelmetlen – a létrehozásuktól kezdve az emlékezésen át a használatukig. És még nem is beszéltünk a biztonságukról.
A LastPass legutóbbi felmérése szerint a felhasználók 92 százaléka tudja, hogy a jelszavak újrafelhasználása kockázatos – de 65 százalékuk mégis megteszi. Még ennél is rosszabb, hogy a válaszadók 45 százaléka nyilatkozott úgy, hogy nem változtatta meg jelszavát az incidens után.
A sérülések sértésének fokozása érdekében a jelszavakkal kapcsolatos biztonsági problémák egyre problematikusabbak. A ForgeRock jelentése szerint a jelszavas támadások száma 450 százalékkal nőtt egy év alatt.
Hogyan tudják tehát a biztonsági csapatok rávenni az alkalmazottakat arra, hogy jobb jelszógyakorlatokat kövessenek és egyszerűsítsék a felhasználói élményt, miközben javítják a biztonságot?
A jelszó nélküli hitelesítés körüli felhajtás és a felhasználói élmény javítására, valamint a biztonság fokozására vonatkozó ígéret ellenére, a jelszavak továbbra is az identitás- és hozzáférés-kezelés szerves részét képezik – és nem fognak egyhamar megszűnni.
Az alternatív hitelesítési tényezők, például a biometrikus adatok – például az arcazonosító és az ujjlenyomatok – és más attribútumok, például az eszköz ujjlenyomata és a földrajzi helymeghatározás használatával a jelszó nélküli megközelítést alkalmazó vállalatok, csökkenthetik a felhasználók által egy adott napon beírt jelszavak számát.
Ezekben az esetekben azonban továbbra is rendelkezésre áll egy jelszó, kifejezés vagy kód tartalékként arra az esetre, ha a biometrikus vagy attribútum-alapú hitelesítési intézkedés sikertelen lenne. Bármely támadó, aki rendelkezik ezekkel a hitelesítési adatokkal, továbbra is hozzáférhet eszközéhez vagy banki alkalmazásához, ujjlenyomat nem szükséges. Tehát még az úgynevezett jelszó nélküli hitelesítésnél is fontos a jelszóhigiénia.
Más szóval, a jelszóhigiénia továbbra is számít. Függetlenül attól, hogy szervezete a jelszavak csökkentése felé halad, vagy továbbra is több tíz vagy száz jelszóval zsonglőrködik, számos tipp segít emelni a jelszavas biztonság mércéjét.
I. Fűzze össze!
Évekig az volt az általános vélemény, hogy a hosszú, összetett és nehezen megjegyezhető jelszavak – például N#JlwB%”+30~Qjok;4=8)F12$R! – a legjobbak. Kiderült, hogy a néhány jelszóként összefűzött szó még erősebb lehet.Ezek a kifejezések könnyebben megjegyezhetők, így a felhasználók kevésbé írják le azokat.
II. Egyedi jelszavak szükségesek
Akár jelszót, akár jelmondatot használ, a jelszóhigiénia kritikus része, hogy minden bejelentkezéskor egyedit használjon. Jól olvasta: minden egyes platformon legyen egyedi jelszava! Bár csábító a kedvenc jelszavak újrafelhasználása, ez óriási veszélyt jelent. Ha egy támadó feltöri a jelszavát, mondjuk egy webshopban, akkor minden olyan webhelyhez megkapja bejelentkezési adatait, ahol ezt a jelszót használták. Ez különösen akkor jelent problémát, ha az alkalmazottak személyes- és vállalati fiókjaikban újrahasználják a jelszavakat.
III. Alkalmazzon jelszókezelőket
Ha minden felületen egyedi jelszót vagy jelmondatot kell megadni, az elég sok jelszót jelent. Hacsak nem rendelkezik tökéletes memóriával, valószínűleg szüksége lesz valamire, ami segít megjegyezni ezeket az összetett jelszavakat és jelmondatokat.
De ne is gondoljon arra, hogy felírja egy cetlire, vagy elmenti őket egy fájlba az asztalon. Ehelyett egy jelszókezelő segíthet. Ezek a biztonságos alkalmazások tárolják az összes egyedi jelszót, és szükség esetén újakat generálnak. A legtöbb jelszókezelő több eszköz között is képes szinkronizálni, így a felhasználók soha nem maradnak fontos jelszó nélkül, amikor szükségük van rá. Egy másik nagyszerű funkció a webhely-ellenőrzés. Ha egy adathalász hivatkozásra kattint és valódi bankja helyett a B4NK-hoz csatlakozik, a jelszókezelő nem tölti ki automatikusan a jelszavát.
IV. Frissítse a jelszavát!
Évek óta ajánlják a jelszavak 90 naponta történő változtatását. Tény, bizonyos felhasználási esetekben ez még mindig jó ökölszabály. Ha cégénél többtényezős/többfaktoros hitelesítéssel (MFA) párosított egyszeri bejelentkezést használ, akkor 90 nap lehet a legjobb. A jelszó nélküli hitelesítést alkalmazó cégek éves jelszó- és jelmondatmódosítást is meghatározhatnak. Nagy érzékenységű felhasználási esetekben 30 vagy akár 15 nap lehet a megfelelő időkeret.
IV. Használja az MFA-t mindenhol, ahol csak lehetséges
Az utolsó, de talán az egyik legfontosabb jelszóhigiéniai tipp az MFA (többtényezős/kétfaktoros hitelesítés) engedélyezése és betartatása. Ha egy szervezetnek MFA-ra van szüksége, és a támadó megszerzi az alkalmazott hitelesítési adatait, a támadó nem fér hozzá azonnal a fiókhoz. A modern MFA olyan egyszerű, mint egy egyszeri jelszó fogadása a mobileszközén, vagy az OTP automatikus kitöltése a jelszókezelőből. A legtöbb szervezet, például bankok, egészségügyi rendszerek és szolgáltatók – köztük a Microsoft és a Google –, ingyenes MFA-t kínálnak.