Ngừng lo lắng về mật khẩu mãi mãi

Cho đến nay 2022 xác nhận rằng mật khẩu vẫn chưa chết. Họ sẽ không sớm. Mặc dù và Apple đang ủng hộ các phương pháp xác thực không cần mật khẩu, hầu hết các ứng dụng và trang web sẽ không loại bỏ tùy chọn này trong một thời gian rất dài.

Hãy nghĩ về điều đó, các ứng dụng nội bộ mà bạn không muốn tích hợp với các nhà cung cấp danh tính bên thứ ba, các dịch vụ của chính phủ, các ứng dụng kế thừa và thậm chí các nhà cung cấp SaaS có thể không muốn đầu tư vào các tích hợp mới hoặc hạn chế các phương pháp xác thực hiện có của họ. Xét cho cùng, các doanh nghiệp trực tuyến quan tâm đến lực kéo của người dùng và bảo mật thường mang lại nhiều rắc rối. Ví dụ: vài ngày trước, Kickstarter đã gửi hàng triệu email đặt lại mật khẩu “đơn giản hóa quy trình đăng nhập”, bao gồm cả những người đã sử dụng đăng nhập mạng xã hội mà không có mật khẩu.

Mặc dù bạn có thể xóa mật khẩu khỏi nhiều thành phần doanh nghiệp, nhưng một phần lớn các nhà cung cấp bên thứ ba, cổng thông tin chính phủ, nhà cung cấp doanh nghiệp và dịch vụ SaaS sẽ vẫn chủ yếu dựa vào tài khoản dựa trên mật khẩu. Không có gì ngạc nhiên khi Gartner tin rằng rủi ro chuỗi cung ứng kỹ thuật số là một trong những thách thức lớn nhất của năm 2022.

Miễn là bất kỳ phần nào của cơ sở hạ tầng hoặc dấu chân đám mây của bạn sử dụng mật khẩu, chúng cuối cùng sẽ trở thành phương tiện tấn công rẻ tiền và dễ dàng dẫn đến 80% các vụ vi phạm vào năm 2022.

Xem tiếp:   Giải thuật ứng viên mã hóa hậu lượng tử cho CPU đơn lõi bị nứt chỉ trong một giờ

Tại sao mật khẩu khó bảo vệ?

Hầu hết các tổ chức đều không việc sử dụng mật khẩu trực tuyến. Không có chính sách rõ ràng nào để ngăn việc sử dụng lại mật khẩu LDAP (Active Directory) của công ty trong các dịch vụ trực tuyến hoặc chia sẻ cùng một mật khẩu trên nhiều tài khoản web. Trình quản lý mật khẩu được chọn tham gia và hiếm khi có sẵn hoặc được sử dụng trên tất cả nhân viên và tài khoản bởi vì đó là chi phí cho năng suất đối với hầu hết những người không phải là nhân viên CNTT.

Sau khi mật khẩu của các tài khoản quan trọng được sử dụng lại trong các dịch vụ trực tuyến hoặc được lưu và đồng bộ hóa trên các trình duyệt, sẽ không có thông báo về cách thức và vị trí nó được lưu trữ. Và khi chúng bị vi phạm, mật khẩu bị rò rỉ sẽ dẫn đến chiếm đoạt tài khoản, nhồi nhét thông tin đăng nhập, xâm nhập email doanh nghiệp và một số vectơ tấn công khó chịu khác.

Đây chính xác là trường hợp gần đây với Cisco, đã bị vi phạm bằng cách sử dụng mật khẩu VPN đã lưu được đồng bộ hóa trên các trình duyệt, theo báo cáo. Mặc dù MFA cũng cần được xâm phạm trong quá trình này, nhưng điều đó chỉ có ý nghĩa khi bảo vệ tất cả các yếu tố liên quan đến quá trình xác thực của chúng tôi.

Để mọi thứ tồi tệ hơn, với tất cả dữ liệu xã hội công khai cho mối tương quan, việc sử dụng lại mật khẩu trong tài khoản cá nhân, (sử dụng email riêng với mật khẩu công ty) cũng có thể là một lỗ hổng nghiêm trọng và không được giám sát. Rốt cuộc, mọi người không quá sáng tạo trong việc nghĩ ra mật khẩu của họ.

Xem tiếp:   Giải quyết tính khả dụng so với bảo mật, xung đột liên tục trong CNTT

Vậy làm thế nào để ngăn chặn rò rỉ mật khẩu và ngừng lo lắng về các mối đe dọa liên quan đến mật khẩu?

May mắn thay, có một cách chữa trị. Hầu hết các tài khoản dựa trên web được tạo riêng lẻ và tạo thành một phần lớn trong dấu ấn của Shadow IT, vì vậy giáo dục chắc chắn phải là một phần của nó. Nhưng giải pháp khó duy nhất là kiểm tra chặt chẽ tính vệ sinh của mật khẩu trên tất cả các tài khoản được tạo và sử dụng trực tuyến.

Trình duyệt là điểm duy nhất trong quá trình sử dụng mật khẩu, nơi có thể đạt được khả năng hiển thị văn bản rõ ràng. Đây là ứng dụng số một của bạn, cung cấp cổng vào hầu hết các dịch vụ và tài nguyên bên trong và bên ngoài, đồng thời là lỗ hổng lớn nhất chưa được kiểm soát để bảo vệ tài khoản của bạn.

Scirge sử dụng tiện ích mở rộng trình duyệt làm thành phần điểm cuối minh bạch cho các nhân viên. Nó cung cấp kiểm tra vệ sinh mật khẩu có thể tùy chỉnh mà không cần bất kỳ hành động nào của người dùng. Điều này dẫn đến tất cả các mật khẩu được kiểm tra xem có đủ độ phức tạp và độ mạnh hay không. Ngoài ra, hàm băm an toàn của họ được sử dụng để so sánh từng mật khẩu để sử dụng lại, chia sẻ và thậm chí chống lại danh sách đen tùy chỉnh hoặc mật khẩu vi phạm đã biết.

Xem tiếp:   Cách xây dựng hộp cát phân tích phần mềm độc hại tùy chỉnh

Sử dụng lại mật khẩu AD / LDAP của bạn trực tuyến? Gotcha. Sử dụng mật khẩu công ty an toàn của bạn cho một tài khoản cá nhân? Scirge có thể thấy điều đó.

Scirge cho phép bạn giám sát các tài khoản công ty và thậm chí sử dụng lại mật khẩu riêng tư dựa trên các chính sách chi tiết, được quản lý tập trung mà không có sự xâm phạm của dữ liệu PII. Tất cả các hàm băm và chỉ báo mật khẩu được lưu trữ tại máy chủ tại chỗ của bạn mà bạn kiểm soát 100%. Hơn 25 chỉ số tiết lộ các tài khoản rủi ro và nhân viên có mật khẩu thấp và cho phép các thông báo giáo dục được nhắm mục tiêu và cá nhân hóa cao.

Trên hết, Scirge tạo bản kiểm kê cá nhân về tất cả các ứng dụng và tài khoản sử dụng, cung cấp khả năng hiển thị các tài khoản của nhân viên cũ mà họ có thể truy cập ngay cả sau khi rời đi. Đặc quyền cao hoặc sử dụng email dịch vụ có thể được xác định để giảm thiểu các nỗ lực lừa đảo trực tuyến. Scirge cũng có thể thu thập các tài khoản do trình duyệt lưu và phát hiện các mối đe dọa nội bộ. Một người nào đó sử dụng tài khoản của những người khác trong tổ chức ngay lập tức bị phát hiện vì tuân thủ, tách biệt nhiệm vụ và các mục đích bảo mật khác.

Bạn muốn tìm hiểu thêm? Nhấn vào đây để tìm hiểu thêm, hoặc đăng ký để được đánh giá miễn phí ngay tại đây.

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …