Cégek és jelszavak – így kezelik és így kellene
Csupa ötös a jelszavad, amivel hozzáférsz a céges adatbázishoz? Esetleg a valamivel fondorlatosabb 1-3-5-7-9? Jó ötlet, mert ezt tuti nem felejted el, sőt, a kollégáknak is könnyű megjegyezni. A hekkerek is díjazni fogják a kreativitásodat, mert az ilyen jelszavak miatt játszva tudnak betörni a céges rendszerbe, és tetszés szerint válogathatnak az ott tárolt adatok, információk között.
Ennél azért erősebb jelszót használsz? Szuper, és ez vajon elég ahhoz, hogy védve legyen a rendszeretek?
Nyűgnek éljük meg a jelszavakat
Milliószor találkozunk a munkánk során és a mindennapi életben egyaránt ezzel a hozzáállással. A jelszó egy kötelező rossz, amit követelnek a szoftverek, úgyhogy az ember megad egyet, de lehetőleg minél egyszerűbbet, meg amúgy is, jegyezze csak meg a gép, persze, nehogymár minden alkalommal be kelljen irkálni.
Kétfaktoros beléptetés, amikor még a telefonra is küldenek kódot, meg ujjlenyomatot is kérnek, meg e-mailben jön beléptető kód? Hát kinek van ideje ennyit rugózni egy belépésen? Kapcsoljuk ki szépen, a gép megjegyzi az egy szem jelszót, aztán nem kell ezzel kínlódni.
Felgyorsult világban élünk, utáljuk, ha valamivel szöszmötölni kell, mindent azonnal akarunk. Munka közben is, ahogy bekapcsoljuk a gépet, legyen már előttünk minden, ami kell, ne kelljen mindenhová külön belépkedni. Férjen hozzá mindenhez mindenki, akkor nem kell egymástól kérdezősködni, sokkal egyszerűbb.
Mi ezzel a baj?
Az, hogy olyan biztonsági réseket hagyunk, amin egy mamut is átfér.
Gondolj bele egy pillanatra, mi van, ha az alkalmazottad a kocsiban hagyja a céges laptopot, ami folyamatosan be van jelentkezve a cégnél minden létező programba, nonstop hozzáfér minden adathoz, a kocsit pedig feltörik, a laptopot ellopják? És itt még amúgy szó sem volt hekkerekről.
A jobb hekkerek ki tudnak játszani komolyabb biztonsági intézkedéseket is – szerinted mennyi időbe telik nekik bejutni egy olyan rendszerbe, ami a fondorlatos 1-3-5-7-9 jelszóval van védve, esetleg a születési dátumoddal, vagy a „cégneve2023”-mal? Igazából ehhez még hekkernek se kell lenni, a legamatőrebb bűnözők is ezeket a jelszavakat próbálgatják először, és ijesztően nagy arányban járnak sikerrel.
És ez csak 2 kiragadott példa. A cégek még rengeteg módon veszélyeztetik a saját biztonságos működésüket, tálcán kínálva a lehetőséget a kiberbűnözőknek. Vagy bárkinek, aki valamilyen okból egy kicsit ki szeretne szúrni az adott céggel, például egy kirúgott exalkalmazottnak.
Milyen biztonsági problémák fordulnak elő leggyakrabban a jelszavak kezelésében?
- Gyenge jelszavak. A lista élén egyértelműen a gyenge jelszavak vannak, de ezt nem ragoznánk túl, az előzőekben már kifejtettük, miért baj ez. Szóval felejtsük el a „password”, az „123456” a cég neve és hasonló jelszavak használatát!
- Jelszavak megosztása és ismételt használata. Hihetetlenül gyakori az is, hogy ugyanaz az egy jelszó van mindenhez, amit ráadásul mindenki tud, aki a cégnél dolgozik (vagy dolgozott valaha…), akkor is, ha bizonyos adatbázisokhoz, szoftverekhez semmi köze nem lenne a munkaköre szerint. Mert így a legegyszerűbb, ha véletlenül mégis kell neki valami, meg tudja nézni. Ha egyetlen jelszó kiderül, akkor az összes fiókodat fenyegeti a hackerek támadása, ráadásul, ha sosem cseréled le a jelszót, rövid idő alatt boldog-boldogtalan tudni fogja az alkalmazottak cserélődése miatt.
- Bejelentkezve maradás. Szintén említettük már: főként akkor gond, ha mindig mindenki bejelentkezve marad, ha az emberek home office-ból dolgoznak, vagy bejárnak, de a laptopjukat viszik magukkal haza. Elég egyetlen gépet ellopni ahhoz, hogy mindenhez szabad legyen a hozzáférés – mire feltűnik a probléma, már rég lelopták az összes adatot és kitiltották a céget a saját rendszereiből.
- Hiányos felhasználói oktatás. Óriási gond, és nagyon gyakori, hogy sok vállalkozás nem fordít kellő figyelmet a felhasználók oktatására az IT biztonságról. Belátható okokból fontos lenne, hogy minden alkalmazott tisztában legyen a jelszóbiztonság alapelveivel és a helyes jelszókezelési, valamint adatkezelési gyakorlatokkal.
- A jelszavak felirkálása. Azt hinné az ember, hogy 2023-ban erre már nem kell külön felhívni a figyelmet, de sajnos kell: a cetlire írt jelszavak hatalmas biztonságos kockázatot jelentenek, ahogy a telefonodba beírogatott jelszavak is. Jobb meghívó nem is kell a kiberbűnözőknek annál, hogy hozzájutnak egy fecnihez, amin az összes létező jelszó rajta van, amikkel hozzá lehet férni ügyféladatokhoz, céges bankszámlákhoz stb.
Hogyan kellene jól kezelni a jelszavakat?
Első körben meg kellene érteni, hogy a jelszavak, a többlépcsős beléptetés nem azért vannak, hogy idegesítsenek és akadályozzák a munkát, hanem azért, hogy biztonságban legyenek a céges adatok. Te vagy a főnök, neked kell olyan intézkedéseket bevezetned, és megkövetelned a használatát, amik ezt biztosítják!
Mire is lenne szükség?
- Jelszópolitika kidolgozása. Először is, hozz létre egy jelszópolitikát, amely részletesen meghatározza a megengedett jelszóhosszt, összetettséget, azonosítási időkorlátokat, jelszóváltoztatási követelményeket és más releváns irányelveket. Győződj meg róla, hogy minden alkalmazott megkapja és megérti a jelszópolitikát.
- Oktatás az alkalmazottaknak. Könnyebb elérni, hogy mindenki betartsa a jelszópolitikában foglaltakat, ha kapnak egy oktatást arról, milyen veszélyek ellen védekezik így a cég, miért fontos ez, és hogyan is kell ezeket csinálni pontosan. Annak semmi értelme, hogy kitalálod, mit kellene bevezetni, de senki sem érti az egészet, fogalmuk sincs, mit is vársz konkrétan, úgyhogy lassan szépen minden visszaáll a régi kerékvágásba.
- Többlépcsős azonosítás. Aktiválj és ösztönözd az alkalmazottakat, hogy használják a többlépcsős azonosítást. Ez növeli a biztonságot, mivel a jelszó mellett további azonosítási módszerek is szükségesek a bejelentkezéshez, így illetéktelenek nem férnek hozzá a cégadatokhoz egyetlen jelszóval.
- Jelszókezelő szoftver használata. Legyen szabály a jelszókezelő szoftver használata, amely biztonságosan tárolja és generálja a jelszavakat. Ez megkönnyíti a jelszavak egyedi és erősített változatának használatát különböző fiókokhoz. Itt ismét felhívnánk a figyelmet az oktatás fontosságára, hogy biztosan mindenki tudja és értse, hogyan és miért kell ezeket használni.
- Rendszeres jelszócserék. Kérj minden alkalmazottat, hogy rendszeresen cserélje le jelszavait. Jelölj ki egy időszakot (pl. 90 nap), amelyen belül a jelszócserét kötelezővé teszed, és rendszeresen emlékeztesd az alkalmazottakat a frissítés fontosságára. A közösen használt jelszavak esetében is tegyétek ezt meg!
- Korlátozd a hozzáféréseket. Tényleg annyira fontos, hogy mindenhez hozzáférjen mindenki? Nagymértékben növelheted a cégbiztonságot, ha bizonyos adatokhoz csak azok férnek hozzá, akiknek valóban szükséges, azaz rendszeresen dolgoznak velük. Mindenki más, ha alkalomszerűen szüksége lenne valami adatra, amihez nincs hozzáférése, kérjen segítséget! Minimálisan időigényesebb, de sokkal biztonságosabb.
- Senki nem maradhat bejelentkezve sehol! Ezzel elkerülheted, hogy az ellopott lapotpokból, telefonokból stb. súlyosabb problémák adódjanak.
- Monitorozás és figyelmeztetések. Telepíts megfelelő biztonsági rendszereket és eszközöket, amelyek figyelik a jelszóhasználatot és észlelik a gyanús tevékenységeket. Ezek a rendszerek képesek lehetnek figyelmeztetéseket küldeni, ha a jelszavak gyengék, megosztottak vagy más jellegű biztonsági problémák merülnek fel.
A változások eleinte mindig nehezek, visszatetszést válthatnak ki, valószínűleg így lesz a cégednél is. De gyorsan meg lehet szokni az új szabályokat, és mindenképpen megéri a biztonság szempontjából!