Примерно в это же время каждый год мне приходится заполнять заявление на киберстрахование моей компании, и каждый год меня спрашивают, поощряем ли мы использование надежных паролей и часто ли их меняем. Этот вопрос действительно беспокоит меня, потому что нам действительно не следует часто менять пароли. Скорее, мы должны выбрать процессы аутентификации, которые должным образом соответствуют рискам сайта; использование пароля должно быть последним, чему вы хотите доверять.
Во-первых, подумайте об информации и данных, которые веб-сайт хранит о вас. Сайты, которые мы хотим обеспечить наибольшей защитой, часто имеют самую слабую защиту. По возможности всегда добавляйте двухфакторную аутентификацию для доступа к сайту. (Не все многофакторные проверки подлинности одинаковы, но какая-то форма многофакторной аутентификации лучше, чем ничего. Если вы поощряете злоумышленников искать что-то еще, вы выполнили свою работу.
Банки и финансовые организации часто медленно внедряют программное обеспечение для аутентификации, поэтому вам приходится довольствоваться именем пользователя, паролем, а затем инструментом двухфакторной аутентификации, обычно текстовым сообщением, отправляемым на ваш смартфон. Хотя чипы SIM-карт смартфонов можно клонировать (чтобы злоумышленники могли подделать ваш телефон и перехватить текстовые сообщения), подавляющему большинству из нас все же лучше подходит этот процесс. Если вы полагаетесь исключительно на имя пользователя и пароль для доступа к банку, ваша учетная запись подвергается риску.
Честно говоря, не все пароли одинаковы. Если вы повторно использовали пароль на другом веб-сайте или для другого банковского счета, вы подвергаетесь большему риску. Злоумышленники часто крадут или покупают хранилище взломанных паролей или хэшей паролей, а затем пытаются повторно использовать их для получения доступа к другим сайтам. Если вы уже получили уведомление о сбросе пароля и не пытались войти в учетную запись, злоумышленник, вероятно, пытается атаковать сайт путем подмены паролей. Так что не используйте один и тот же пароль где-либо.
В течение многих лет онлайн-пользователей просили изменить свои имена пользователей, чтобы узнать, продает ли сайт их информацию в другом месте. Теперь я вижу такую же рекомендацию по выбору паролей или кодовых фраз. В сети есть очень забавное видео, описывающее процесс, который люди используют для выбора паролей. Вы начали с выбора пароля, затем используете его везде. Затем, когда сайт говорит, что один недостаточно хорош, он добавляет еще одну букву. Поэтому вам нужен специальный символ (например, восклицательный знак). Правда в том, что наш мозг может хранить ограниченное количество информации, поэтому мы склонны повторно использовать один и тот же пароль или его вариант на нескольких сайтах.
Microsoft часто рекомендует использовать PIN-коды вместо паролей. В нем утверждается, что PIN-код зависит от устройства, поэтому, если злоумышленник украдет ваш PIN-код, он также должен украсть устройство. С этим аргументом есть проблема. У меня есть несколько устройств, для которых требуется PIN-код, и я должен признать, что использую один и тот же PIN-код на всех из них, потому что я запоминаю PIN-коды не лучше, чем пароли. Согласно Microsoft, преимущество ПИН-кода заключается в том, что «при создании ПИН-кода устанавливаются доверительные отношения с поставщиком удостоверений и создается пара асимметричных ключей, которая используется для аутентификации». Микросхема Trusted Platform Module (TPM) компьютера хранит PIN-код. (Если вам интересно, почему у вас была машина с Windows 10, которая просила вас использовать PIN-код вместо пароля, это потому, что операционная система зарегистрировала, что у нее есть аппаратное обеспечение для поддержки этого процесса.) Если вам не нужен или вы не хотите иметь PIN-код, вы можете удалить его. Нажмите клавишу Windows и клавишу I, чтобы открыть настройки. Выберите учетные записи, затем нажмите «Продолжить». На левой панели щелкните Параметры подключения. На правой панели выберите «Удалить» в разделе PIN-код.
Усилия по улучшению онлайн-безопасности нарастают. Intuit недавно начал требовать онлайн-пароль даже для входа в настольную версию QuickBooks, своего бухгалтерского программного обеспечения. Те, у кого есть файл QuickBooks, содержащий конфиденциальную информацию, такую как платежная ведомость или кредитные карты, также должны сначала войти в онлайн-аккаунт. В течение многих лет пользователям настольных компьютеров требовалось только имя пользователя. Тем не менее, многие пользователи сочли это изменение громоздким, особенно в сочетании с обязательным изменением паролей каждые 90 дней. (Опять же, это идея о том, что смена пароля лучше, чем использование более качественных паролей или использование приложения Google Authenticator для доступа к вашей учетной записи Intuit.
Даже если вы представляете небольшой бизнес, вы можете добавить двухфакторную аутентификацию к доступу к собственному компьютеру для повышения безопасности. Duo.com, например, предлагает бесплатный DUO для внедрения менее чем с 10 пользователями. Обеспечивает двухфакторную подсказку для смартфона или даже Apple Watch. Я использую его в своем офисе для удаленного доступа, чтобы убедиться, что когда кто-то входит в систему из-за пределов офиса, он должен ответить на сообщение на своем телефоне, чтобы получить доступ. Его простота использования позволяет мне гарантировать безопасность удаленного доступа и избегать чрезмерной смены пароля.
Если вы продавец или агентство киберстрахования, послушайте меня! Перестаньте просить меня сменить пароль. Вместо этого спросите меня, какое мое любимое многофакторное приложение. Это самый быстрый способ повысить безопасность для большинства пользователей.
© 2022 IDG Communications, Inc.