Digitálna identita je jedinečná reprezentácia subjektu zapojeného do online transakcie. Overovanie identity stanovuje, že subjekt je skutočne tým, za koho sa vydáva.
Heslá sú prvou obrannou líniou pri ochrane citlivých informácií a systémov. Napriek tomu slabé alebo zle spravované heslá sú jednou z najčastejšíie použitých zraniteľností pri narušení kybernetickej bezpečnosti.
Jednoduché heslá, ako napríklad 12345, alebo bežné identifikačné údaje, ako sú narodeniny a mená domácich zvierat, nie sú bezpečné na ochranu dôležitých účtov. Používanie ľahko uhádnuteľného hesla je ako zamknúť dvere ale nechať kľúč v zámku. Slabé heslá môžu počítačoví hackeri rýchlo prelomiť.
Problém je v tom, že väčšina z nás má veľa online účtov, takže vytvoriť rôzne heslá pre všetky z nich (a zapamätať si ich) je ťažké.
Efektívna správa hesiel zahŕňa kombináciu silných politík, nástrojov a vzdelávania.
Zásady silných hesiel
Ak chcete chrániť seba a svoje informácie, budete chcieť používať heslá, ktoré sú dlhé, silné a pre niekoho iného je ťažké ich uhádnuť, pričom si ich stále ponecháte relatívne ľahko zapamätateľné.
Silné heslo je také, ktoré si ľahko zapamätáte, no pre ostatných je ťažké ho uhádnuť. Tu je niekoľko tipov:
- Odporúčaná dĺžka hesla je 12 alebo viac znakov (max 64).
- Snažte sa využívať symboly, čísla, malé a veľké písmená.
- Nikdy nepoužívajte osobné údaje, ako je vaše meno, narodeniny, používateľské meno alebo e-mailová adresa. Tento typ informácií je často verejne dostupný, čo uľahčuje niekomu uhádnuť vaše heslo.
- Nepoužívajte heslá založené na priezviskách, záľubách alebo len na jednoduchom vzore.
- Nepoužívajte rovnaké heslo pre viac účtov.
- Vyhnite sa používaniu slov, ktoré možno nájsť v slovníku.
- Nepoužívajte opakujúce sa alebo sekvenčné znaky (napr. „aaaaaa“, „1234abcd“).
- Nepoužívajte heslá, ktoré boli v minulosti leaknuté.
- Nepoužívajte kontextovo špecifické slová, ako je názov služby, používateľské meno a ich deriváty.
Vždy používajte samostatné heslá pre každú webovú stránku alebo službu pomocou správcu hesiel.
Všetky hlavné heslá na správcu hesiel/hardvérové zariadenie musia byť jedinečné.
Pravidelné aktualizácie hesla
Odporúčame heslá meniť pri podozrení alebo potvrdení, že boli napadnuté. Vyžadovanie pravidelných zmien môže spôsobiť opakované používanie podobných jednoduchých hesiel.
Správcovia hesiel
Implementujte nástroje na správu hesiel na bezpečné ukladanie a generovanie silných hesiel pre seba aj svojich zamestnancov.
Uistite sa, že samotný správca hesiel je zabezpečený viacfaktorovou autentifikáciou (MFA) a pravidelne si inštalujte aktualizácie.Dajte si záležať na výbere kvalitného správcu hesiel.
Vytváranie a ukladanie silných hesiel pomocou „správcu hesiel“ je jedným z najjednoduchších spôsobov, ako sa chrániť pred tým, aby sa niekto prihlásil do našich účtov a ukradol citlivé informácie, dáta, peniaze alebo dokonca Vašu identitu.
Niektoré top produkty sú: 1Password, Apple’s iCloud Keychain, KeePass a LastPass (v abecednom poradí).
Nezabudnite:
- Ak zabudnete „hlavné“ heslo pre správcu hesiel, nebudete sa môcť dostať späť do svojich účtov.
- Ak počítačový zločinec pristúpi k vášmu účtu správcu hesiel, bude mať prístup ku všetkým vašim účtom.
Zefektívnenie správy hesiel
Jasné procesy a automatizácia niektorých prvkov ochrany môže výrazne znížiť riziká a neefektívnosť spojenú s manuálnou správou hesiel:
- Pripomienky uplynutia platnosti hesla: Automaticky upozornite zamestnancov, aby v prípade potreby aktualizovali heslá.
- Upozornenia na narušené heslá: Použite nástroje na vyhľadávanie uniknutých hesiel na temnom webe a okamžite informujte používateľov.
- Role-Based Access Control (RBAC): Automatizujte prístupové povolenia na základe pracovných rolí, čím sa zabezpečí, že zamestnanci budú mať prístup len k tomu, čo je nevyhnutné.
- Centralizovaní správcovia hesiel: Nasaďte správcu hesiel pre celú organizáciu, aby ste zjednodušili bezpečné vytváranie, ukladanie a zdieľanie poverení.
- Presadzovanie MFA: Automaticky vyžadovať viacfaktorovú autentifikáciu (MFA) pre prístup k citlivým systémom a údajom. Čo to je MFA a ako ju používať Vám prinesieme v ďalšom článku.
Automatizáciou týchto procesov môžu podniky obmedziť ľudské chyby, zvýšiť bezpečnosť a zlepšiť súlad s priemyselnými štandardmi.
Heslá ako súčasť kultúry zabezpečenia
Hoci sú zásady a nástroje silných hesiel dôležité, sú účinné len vtedy, ak zamestnanci chápu svoju úlohu pri udržiavaní bezpečnosti.
Podpora kultúry bezpečnosti zahŕňa pravidelné workshopy, pripomienky a otvorené komunikačné kanály pre zamestnancov, aby mohli nahlásiť potenciálne problémy alebo klásť otázky.
Efektívna správa hesiel môže chrániť vaše citlivé údaje a systémy pred krádežou identity, finančnými podvodmi, firemnou špionážou a inými neoprávnenými aktivitami. Silná správa hesiel vám tiež môže pomôcť udržať kontinuitu podnikania tým, že zabráni neoprávnenému prístupu a tým aj prerušeniam prevádzky.
Vzdelávanie
Vzdelávajte zamestnancov o politike hesiel. Ľudský faktor je jedným z najslabších článkov bezpečnosti hesiel, preto je dôležité vytvoriť zásady pevných hesiel a zabezpečiť, aby si ich zamestnanci uvedomovali.
Uskutočňujte pravidelné bezpečnostné školenia o tom, ako rozpoznať pokusy o neoprávnené získavanie údajov a iné typy útokov na heslo a reagovať na ne. Je tiež dôležité pravidelne kontrolovať a aktualizovať zásady hesiel, aby sa prispôsobili vyvíjajúcim sa hrozbám a technologickému pokroku.
Odporúčané normy ISO
ISO/IEC 27001: Poskytuje rámec pre implementáciu a riadenie informačnej bezpečnosti.
ISO/IEC 27002: Ponúka podrobné odporúčania pre zásady riadenia hesiel a prístupu.
ISO/IEC 27017: Zameriava sa na cloudovú bezpečnosť vrátane správy hesiel v cloudových prostrediach.
Odporúčame sledovať: https://pages.nist.gov/800-63-4/sp800-63b.html
Význam komunikácie a vzdelávania
Zásady hesiel sú účinné len vtedy, keď zamestnanci chápu ich účel a dôležitosť. Vzdelávanie zamestnancov o rizikách, ako je opätovné použitie hesiel, phishingové útoky a používanie slabých hesiel, vytvára pevný základ pre dodržiavanie predpisov. Pravidelné školenia, e-mailové tipy a dokonca aj simulované phishingové kampane môžu posilniť osvedčené postupy a udržať zamestnancov zapojených do udržiavania bezpečnosti.
Certifikačné kurzy ISO nájdete v našej ponuke na www.comeniana.com. Ak nenájdete čo hľadáte, kontaktujte nás na kurzy@comeniana.com.
Okrem certifikačných kurzov Vám pripravíme školenie kybernetickej bezpečnosti pre Vašich zamestnancov na mieru.
Dodržiavaním osvedčených postupov v oblasti kybernetickej bezpečnosti a ich zosúladením s normami ISO môžu organizácie chrániť svoje údaje, dodržiavať súlad a podporovať dôveru medzi zamestnancami a zainteresovanými stranami.
Najdôležitejšie je, že neustále vzdelávanie zaisťuje, že zamestnanci zostávajú ostražití a používajú komunikačné nástroje zodpovedne, čím sa premieňajú z potenciálnych zraniteľností na najsilnejšiu obrannú líniu organizácie.