Zmiana dnia hasła wymaga odpowiednika

• Kategoria: Bezpieczeństwo

Wypróbuj Nasz Instrument Do Eliminowania Problemów

Wybierz System Operacyjny Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Wybierz Program Projekcji (Opcjonalnie) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Opisz Swój Problem

Dostać Odpowiedź

Wyślij Mi E -Mail Pokaż Na Stronie

1 lutego to dzień zmiany hasła; chociaż nie jest to oficjalne, wiele witryn technicznych reklamuje dzień swoim czytelnikom. Użytkownicy proszeni są o zmianę haseł w tym dniu w celu zwiększenia bezpieczeństwa.

Chociaż z pewnością są chwile, w których zmiana haseł ma sens, np. po naruszeniu usługi online, udanym ataku wirusa, przypadkowym udostępnieniu lub zwiększeniu siły hasła, generalnie stwierdzenie, że należy zmienić wszystkie hasła tego dnia, nigdy nie miało większego sensu.

Wolałbym zmienić nazwę dnia na „dzień sprawdzania haseł”. Użytkownicy mogliby przetestuj ich hasła w bazie danych Have I Been Pwned (lokalnie) i zmień hasła, które wyciekły do ​​Internetu.

Użytkownicy mogą również sprawdzić siłę haseł i zmienić hasła, które są uważane za słabe przez algorytmy sprawdzające siłę, lub rozpocząć korzystanie z menedżera haseł, jeśli jest to dozwolone w środowisku.

Warto również rozważyć uwierzytelnianie dwuskładnikowe i inne zaawansowane opcje zabezpieczeń, jeśli są dostępne.

Sprawdź dzień bezpieczeństwa swojego serwera

Proponuję odpowiednik na zmianę dnia hasła: sprawdź dzień bezpieczeństwa swojego serwera (luźno oparte na Artykuł Jürgena Schmidta na temat Heise ), mój własny Artykuł dotyczący bezpieczeństwa hasła z 2012 roku , i bezpieczeństwo hasła: co wiedzą użytkownicy i co robią . Chociaż z pewnością ataki siłowe lub ataki ukierunkowane mogą wykraść dane uwierzytelniające użytkownika, jedno z największych zagrożeń pochodzi z serwerów firmowych, które zostały zhakowane.

Z punktu widzenia użytkownika nie ma znaczenia, czy włamanie zakończyło się sukcesem z powodu inżynierii społecznej, nieprawidłowo skonfigurowanych serwerów, niezałatanych luk w zabezpieczeniach, nieaktualnych bibliotek lub komponentów, czy też luk 0-day.

W Internecie są dostępne bezpłatnie miliardy zestawów haseł. Te zestawy, Czy zostałem oszukany podaje jedynie 6,4 miliarda kont użytkowników z 340 witryn, to tylko wierzchołek góry lodowej. Pochodzą one z udanych włamań i są natychmiast publikowane w sieci, oferowane do sprzedaży lub wykorzystywane bez ich publicznego ujawnienia.

Reputacja firm ucierpi, jeśli zostaną skutecznie zaatakowane, ale wydaje się, że większość z nich wraca do „normalnych interesów” dość szybko po naruszeniach.

Firmy powinny skorzystać z „dnia sprawdzenia bezpieczeństwa serwera”, aby zwiększyć bezpieczeństwo. Robienie tego raz w roku chyba nie wystarczy, ale dzień można przeznaczyć na dokładne testy i poprawę bezpieczeństwa, np. wdrażając nowe formy zabezpieczeń lub ulepszając istniejące.

Nawet jeśli jako użytkownik usługi wybierzesz najsilniejsze hasło, jakie można sobie wyobrazić, nadal może się okazać, że wpadnie w ręce przestępców, którzy zrzucają bazy danych z hasłami.

Chcę tylko powiedzieć, że firmy muszą wziąć na siebie odpowiedzialność. Nie wystarczy zresetować hasła do kont po włamaniu i skończyć z całą sytuacją; Firmy muszą aktywnie zwiększać bezpieczeństwo i regularnie sprawdzać bezpieczeństwo serwerów, aby całkowicie blokować określone wektory ataku.

Teraz ty: Czy firmy powinny lepiej zabezpieczyć swoje serwery?