В этом году предприятиям частного сектора следует сохранять бдительность в отношении потенциального роста вредоносной киберактивности. Киберугрозы, конечно, не новы в онлайн-мире, но недавние мировые события, такие как спецоперация в Украине, безусловно, увеличивают вероятность того, что хакеры захотят создать проблемы для организаций, базирующихся в нашей стране. По этой причине мы считаем, что сейчас самое время для организаций пересмотреть свои пароли и основные политики безопасности.
В дополнение к рассмотрению и рекомендации политики паролей для наших клиентов, команда KIRIYAK STUDIO также предпринял дополнительные меры предосторожности, добавив избыточные резервные копии для всех наших клиентов. Дополнительные резервные копии, хранящиеся в отдельном месте, — это простой способ обеспечить безопасность данных и душевное спокойствие.
Конечно, лучший способ снизить риск — избежать или предотвратить его. И мы знаем, что один из самых распространенных способов взлома веб-сайтов — это скомпрометированные пароли.
Пароли являются неотъемлемым аспектом безопасности сайта. Плохо выбранный пароль может привести к несанкционированному доступу и/или эксплуатации ресурсов. Организации любого размера должны требовать, чтобы все сотрудники, включая подрядчиков и поставщиков, имеющих доступ к вашим бизнес-системам, несли ответственность за принятие соответствующих мер по выбору и защите своих паролей.
Вот несколько рекомендаций, которые мы даем нашим клиентам:
1. Используйте надежные и уникальные парольные фразы
В наши дни должны требоваться длинные пароли. Используйте кодовую фразу вместо пароля, чтобы ее было легче запомнить.
Вообще говоря, мы, как минимум, следуем стандарту NIST 800-63B, который рекомендует запоминать пароли длиннее восьми (8) символов. Это довольно короткая длина пароля, но цель здесь состоит в том, чтобы пользователи без менеджеров паролей запоминали пароли, а не записывали их. Поскольку запоминаемые пароли могут быть трудными для запоминания, мы также рекомендуем создать парольную фразу, состоящую из нескольких слов, которые легко запомнить и которые будут длиннее. Например, пользователи могут использовать фразу-пароль вроде «NormalMuber33foMe», чтобы соответствовать требованиям по длине символов, но это нетрудно догадаться.
Этот пример взят из веб-комикса XKCD, и в качестве конкретного пароля он, вероятно, находится в словаре общих паролей, используемых злоумышленниками. Чтобы избежать этой проблемы, NIST также рекомендует «сравнивать пароли, выбранные пользователями, с «черным списком» неприемлемых паролей». Плагины, такие как «Passwords Evolved» Карла Александра, позволяют безопасно проверять пароли пользователей по большому списку популярных неверных паролей.
Наконец, очень важно выбрать уникальный пароль для каждой системы, к которой пользователь получает доступ, чтобы снизить риск. Таким образом, если один пароль будет скомпрометирован, будет скомпрометирована только одна система. Если вы используете один и тот же пароль для нескольких систем, все эти системы будут скомпрометированы. https://haveibeenpwned.com — хороший ресурс для просмотра взломанных учетных записей.
2. Используйте менеджер паролей
Если всем этим советам о запоминаемых паролях сложно следовать, подумайте об использовании менеджера паролей, такого как LastPass или 1Password. Менеджеры паролей значительно упрощают использование длинных уникальных паролей. Они интегрируются с веб-браузерами и такими устройствами, как телефоны, что позволяет легко обмениваться паролями между устройствами. Вместо того, чтобы запоминать десятки учетных записей, вам нужно иметь доступ только к одному основному паролю, а менеджер сделает все остальное. Веб-браузеры часто включают некоторые из этих функций, но помимо того, что они менее безопасны, ими часто сложнее управлять. Firefox, например, будет управлять паролями, а Keychain от Apple предоставляет аналогичную функциональность. Однако ни одно из этих решений не является переносимым между устройствами или браузерами. Одним из самых простых решений для хранения секретов в долгосрочной перспективе являются специализированные менеджеры.
Хранение простого текстового файла или файла электронной таблицы на вашем компьютере со всеми паролями не рекомендуется, если только он не очень хорошо зашифрован. Если вы решите сделать это, рассмотрите возможность использования отдельного логического или физического диска, который зашифрован и для доступа к которому требуется собственный пароль.
3. Относитесь к паролям как к конфиденциальной информации
Все пароли следует рассматривать как конфиденциальную информацию. Если в вашей организации еще нет задокументированной политики для защиты такого типа информации, рассмотрите возможность создания политики, включающей протокол управления инцидентами, если пароль любого пользователя будет скомпрометирован.
Избегайте использования функции «Запомнить пароль» приложений (например, веб-браузеров).
Пароли не должны быть вставлены в сообщения электронной почты, случаи отслеживания проблем или другие формы электронного общения, а также не должны раскрываться кому-либо по телефону. Мы рекомендуем организациям создать политику для своих сотрудников, если в вашей работе распространено совместное использование паролей. Некоторые менеджеры паролей, такие как 1Password, также имеют возможность делиться паролями.
4. Используйте многофакторную аутентификацию (MFA)
Многофакторная аутентификация настоятельно рекомендуется и должна использоваться, когда это возможно, не только для рабочих учетных записей, но и для личных учетных записей. У большинства крупных провайдеров есть решения MFA, и их просто необходимо включить.
Типичными аутентификаторами второго фактора (2FA) являются текстовые SMS-сообщения или электронная почта; однако это наименее безопасный из различных методов MFA. Хотя это маловероятно, злоумышленники могут получить доступ к этим учетным записям. Если вашим вторым фактором является электронная почта, то злоумышленник, у которого есть ваша электронная почта, может получить доступ ко всем вашим учетным записям, просто сбросив пароли. Точно так же SMS-сообщения перехватывались в прошлом и использовались для компрометации учетных записей.
Лучшим методом MFA является одноразовый пароль. Этот метод включает в себя создание ключа, который может генерировать чувствительный ко времени пароль, а затем сохранение этого ключа на втором устройстве. KIRIYAK STUDIO рекомендует приложения Duo или Google Authenticator для двухфакторной аутентификации.
Существуют дополнительные решения MFA, такие как физическое оборудование, такое как Yubikey, которое действует так же, как считыватель отпечатков пальцев на некоторых телефонах. Эти физические аппаратные ключи позволяют пользователю просто нажать кнопку, но имеют тот же уровень безопасности, что и одноразовый пароль.
Хотя все эти параметры требуют времени на предварительную настройку, они определенно стоят дополнительной безопасности. Мы рекомендуем тщательно сравнить варианты, чтобы найти лучший вариант для вашей организации.
Начните сегодня с безопасного управляемого хостинга для сайта WordPress.
С нами вы можете использовать нашу команду экспертов для размещения вашего сайта WordPress в безопасной среде хостинга. Команда KIRIYAK STUDIO может помочь вам защитить и управлять вашим сайтом WordPress с опытными командами веб-операторов и разработчиков, а также панелью управления для конечного пользователя, которая поможет вам создавать, разрабатывать и управлять сайтами WordPress.