ハッカーがハッカーによるコンピュータ ネットワークへの侵入を困難にするために、慎重な企業は「セキュリティから始めよう」のアドバイスに従い、強力な認証慣行を要求しています。
私たちは、FTC の和解、非公開の調査、および適切な認証の「衛生」の実装に関して企業から寄せられる質問について検討してきました。ここでは、効果的な認証手順を使用してネットワークを保護するためのヒントをいくつか紹介します。
長く、複雑で、ユニークなパスワードを使用してください。
パスワードの存在意義は、ユーザーにとっては覚えやすく、詐欺師にとっては解りにくいことです。 ABCABC、121212、qwerty などの明らかな選択肢は、デジタルでは「hack me」サインに相当します。さらに、専門家は、パスフレーズや長いパスワードは一般に解読が難しいと判断しています。企業にとってより賢明な戦略は、標準を徹底的に検討し、最小要件を実装し、より強力なパスワードの作成方法についてユーザーを教育することです。また、ネットワーク、コンピュータ、またはデバイスにソフトウェア、アプリケーション、またはハードウェアをインストールする場合は、デフォルトのパスワードをすぐに変更してください。また、消費者にパスワードの使用を要求する製品を設計する場合は、デフォルトのパスワードを変更する必要があるように初期設定を構成します。
例: スタッフが選択しようとしています 給与計算 従業員の給与情報を含むデータベースのパスワードとして使用します。同社はそのような明白な選択を拒否するシステムを設定しています。
例: 企業では、企業ネットワークにアクセスするために、従業員に自分のユーザー名と、そこで働く全員に共通の共有パスワードを入力させることができます。従業員は、その共有パスワードを使用してシステム上の他のサービスにアクセスすることも許可されており、その一部には機密の個人情報が含まれています。より賢明なポリシーは、各従業員に強力で固有のパスワードを要求し、異なるアプリケーションへのアクセスには異なるパスワードを使用することを要求することです。
例: 従業員会議で、企業の IT マネージャーが従業員に適切なパスワード衛生に関するヒントを提供します。彼女は、標準的な辞書の単語やよく知られている情報 (子供の名前、ペット、誕生日、好きなスポーツ チームなど) に基づいた短いパスワードよりも、パスフレーズや長いパスワードの方が優れていると説明しています。より安全な企業パスワード標準を確立し、その導入について従業員を教育することで、IT マネージャーは会社が不正アクセスのリスクを軽減できるよう支援するための一歩を踏み出しています。
パスワードを安全に保管します。
データ窃盗に対する企業の最前線は、パスワードを秘密にするよう訓練された従業員です。しかし、たとえ最強のパスワードであっても、従業員が机上の付箋に書いたり、他の人と共有したりすると、効果がありません。同僚からのものと思われる電話や電子メールに応じてパスワードを漏らさないようにスタッフを訓練してください。詐欺師は、電話番号や電子メール アドレスを偽装して企業役員になりすますことが知られています。
侵害されたパスワードが、さらに機密情報への扉を開くために使用される場合、たとえば、ネットワーク上に平文で読み取り可能なテキストで保持されている他のユーザー資格情報のデータベースなど、特別なリスクが生じます。資格情報を安全に保存するためのポリシーと手順を実装することで、データ窃盗者が幸運なパスワードの推測を会社の最も機密データの壊滅的な侵害に変えることを困難にします。
例: 新入社員は会社のシステム管理者を名乗る人物から電話を受けます。発信者はネットワーク パスワードを確認するように求めます。この新入社員は社内のセキュリティオリエンテーションでなりすまし詐欺について知ったため、パスワードの開示を拒否し、社内の適切な担当者に事件を報告しました。
例: ある企業は、ユーザーの資格情報とその他のパスワードをネットワーク上のワープロ ファイルに平文で保存しています。ハッカーがこのファイルにアクセスした場合、それらの資格情報を使用して、パスワードで保護された顧客の財務情報のデータベースなど、ネットワーク上の他の機密ファイルを開くことができます。侵害が発生した場合、企業は資格情報に関する情報をより安全な形式で維持することで、侵害の影響を軽減できる可能性があります。
ブルートフォース攻撃から守ります。
ブルート フォース攻撃では、ハッカーは自動プログラムを使用して、考えられるパスワードを系統的に推測します。 (簡単な例では、彼らは、支払いに失敗するまで、aaaa1、aaaa2、aaaa3 などを試行します。) ブルート フォース攻撃に対する防御の 1 つは、ログイン試行が一定回数失敗した後にユーザーの資格情報を一時停止または無効にするようにシステムを設定することです。 。
例: ある企業は、一定回数の不正ログイン試行後にユーザーをロックアウトするようにシステムを設定しています。このポリシーは、悪意のあるブルート フォース攻撃から保護しながら、最初の試行ではパスワードを打ち間違えた従業員が 2 回目には正しく入力した場合にも対応します。
機密性の高いアカウントをパスワード以上のもので保護します。
強力で固有のパスワードを要求し、安全に保管し、ログイン試行が何回も失敗した後にユーザーをログアウトさせてきました。しかし、機密情報への不正アクセスを防ぐには、それだけでは十分ではない可能性があります。消費者や従業員は、さまざまなオンライン アカウント間でユーザー名とパスワードを再利用することが多いため、リモート攻撃者にとってこれらの資格情報は非常に価値があります。認証情報はダーク Web 上で販売され、クレデンシャル スタッフィング攻撃の実行に使用されます。これは、ハッカーが盗んだユーザー名とパスワードを人気のインターネット サイトに自動的かつ大規模に入力し、それらのいずれかが機能するかどうかを確認する一種の攻撃です。一部の攻撃者は、ログイン失敗時の制限を回避してログイン試行の時間を計ります。クレデンシャルスタッフィング攻撃やその他のオンライン攻撃に対抗するには、企業は機密データにアクセスするアカウントに対して複数の認証技術を組み合わせる必要があります。
例: 住宅ローン会社は、顧客がオンラインで自分のアカウントにアクセスするために強力なパスワードを使用することを要求しています。しかし、保有する情報の機密性が非常に高いため、追加のセキュリティ層を実装することにしました。同社は、顧客のスマートフォン上の認証アプリによって生成された秘密の確認コードを使用し、アクセスにはそのコードを入力し、強力なパスワードを使用することを顧客に要求します。この追加の保護を実装することにより、住宅ローン会社はサイトのセキュリティを強化しました。
例: オンライン電子メール サービス プロバイダーには強力なパスワードが必要です。しかし、消費者にはさまざまな手段を通じて 2 要素認証を実装するオプションも提供されます。たとえば、電子メール プロバイダーはテキストまたは音声通話によってコードを生成できます。また、ユーザーがセキュリティ キーを USB ポートに挿入することもできます。 2 要素認証を提供することにより、電子メール サービス プロバイダーはユーザーに追加のセキュリティ層を提供します。
例: 債権回収会社は、回収員に在宅勤務を許可しています。債務者に関する財務情報のスプレッドシートが含まれる同社のネットワークにアクセスするには、同社は従業員に対し、強力なパスワードと 6 秒ごとに乱数を生成するキーホルダーで保護された仮想プライベート ネットワークにログインすることを要求しています。多要素認証を使用してネットワークへのリモート アクセスを保護することで、同社は認証手順を改善しました。
認証バイパスから保護します。
ハッカーはしつこい集団です。正面玄関から入ることができない場合は、他の仮想ドアや窓を試して、別のアクセス ポイントが半開きかどうかを確認します。たとえば、ログイン ページを単にスキップして、ユーザーがネットワークの他の認証手順を満たした後にのみアクセスできると想定されているネットワークまたは Web アプリケーションに直接移動する可能性があります。賢明な解決策は、認証バイパスの脆弱性を防ぎ、企業が誰が侵入しようとしているかを注意深く監視できる認証ポイントを介してのみ侵入を許可することです。
例: 減量クリニックには、そのサービスを説明する公開 Web ページがあります。このページにはログイン ボタンもあり、既存のメンバーがユーザー名とパスワードを入力して特別な「メンバー専用」ポータルにアクセスできるようになります。 「メンバー専用」ポータルに正常にログオンすると、メンバーは、体重、体脂肪、脈拍、お気に入りのランニング ルートなどを入力できるパーソナライズされた「進捗状況を追跡」ページなど、他の制限されていると思われるページに移動できるようになります。ただし、メンバーの「進捗状況を追跡」ページの URL を知っている場合は、ログイン ページをスキップして、アドレス バーに URL を入力するだけで済みます。これにより、ユーザー名やパスワードを入力せずに会員ページの情報を閲覧できるようになります。より安全なオプションは、減量クリニックが、ユーザーが「会員専用」ポータルのどの部分にもアクセスする前にログイン認証情報を入力する必要があることを保証することです。
企業へのメッセージ: ネットワーク上の機密情報を保護するための認証手順をよく考えてください。
シリーズの次は: 機密の個人情報を安全に保管し、送信中に保護します。
