Skift din adgangskodedag har brug for et modstykke

• Kategori: Sikkerhed

Prøv Vores Instrument Til At Fjerne Problemer

Vælg Operativsystemet Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Vælg Et Projektionsprojekt (Valgfrit) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Beskriv Dit Problem

Få Et Svar

Send Mig Via E -Mail Vis På Webstedet

1. februar ændrer din adgangskodedag; mens de ikke er officielle, reklamerer mange teknologisider dagen for deres læsere. Brugere bliver bedt om at ændre adgangskoder den dag for at forbedre sikkerheden.

Selvom der bestemt er tidspunkter, hvor ændring af adgangskoder giver mening, f.eks. efter et brud på en onlinetjeneste, et vellykket virusangreb, utilsigtet deling eller for at øge styrken på et kodeord, generelt med oplysning om, at man skulle ændre alle adgangskoder på den dag, gjorde det aldrig meget mening.

Jeg foretrækker, at dagen omdøbes til at 'tjekke din adgangskodedag' i stedet. Brugere kunne test deres adgangskoder mod databasen Have I Been Pwned (lokalt), og ændre adgangskoder, der blev lækket til Internettet.

Brugere kan også kontrollere styrken af ​​adgangskoder og ændre adgangskoder, der betragtes som svage af styrken til kontrol af algoritmer, eller begynde at bruge en adgangskodemanager, hvis det er tilladt i miljøet.

To-faktor-godkendelse og andre avancerede sikkerhedsindstillinger, hvis de er tilgængelige, er også værd at overveje.

Kontroller din serversikkerhedsdag

Jeg foreslår, at en modpart ændrer din adgangskodedag: tjek din serversikkerhedsdag (løst baseret på Jürgen Schmidts artikel om Heise ), min egen I artikel om adgangskodesikkerhed fra 2012 , og adgangskodesikkerhed: hvad brugerne ved, og hvad de gør . Selvom det bestemt er tilfældet, at brute force-angreb eller målrettede angreb kan stjæle brugeroplysninger, kommer en af ​​de største trusler fra firmaets servere, der bliver hacket.

Hvorvidt hacket er vellykket på grund af social engineering, forkert konfigurerede servere, upatchede sikkerhedssårbarheder, forældede biblioteker eller komponenter eller 0-dages sårbarheder er uden betydning fra en brugers perspektiv.

Milliarder af kodeordssæt er frit tilgængelige på Internettet. Disse sæt, Er jeg blevet pwned lister 6,4 milliarder pwned konti alene fra 340 steder, er kun toppen af ​​isbjerget. De kommer fra vellykkede overtrædelser og offentliggøres enten med det samme på nettet, tilbydes til salg eller bruges uden dem nogensinde lækket offentligt.

Et virksomheds omdømme lider, hvis de angribes med succes, men det ser ud til, at de fleste går tilbage til 'forretning som normalt' ret hurtigt efter overtrædelser.

Virksomheder bør bruge 'tjek din serversikkerhedsdag' for at forbedre sikkerheden. Det er sandsynligvis ikke nok til at gøre dette en gang om året, men dagen kan bruges til at udføre grundige test og for at forbedre sikkerheden, f.eks. ved at implementere nye former for sikkerhed eller forbedre eksisterende.

Selv hvis du som bruger af en tjeneste vælger den stærkeste adgangskode, du kan forestille dig, kan du stadig opleve, at det falder i hænderne på kriminelle, der dumper adgangskodedatabaser.

Jeg prøver bare at sige, at virksomheder er nødt til at tage ansvar. Det er ikke nok at nulstille kontoadgangskoder efter et brud og være færdig med hele situationen; virksomheder er nødt til at forbedre sikkerheden proaktivt og kontrollere serversikkerhed regelmæssigt for at blokere visse angrebsvektorer direkte.

Din tur: Bør virksomheder bedre sikre deres servere?