Στον έλεγχο ταυτότητας βάσει κωδικού πρόσβασης, οι τελικοί χρήστες επιβεβαιώνουν την ταυτότητά τους χρησιμοποιώντας διαπιστευτήρια σύνδεσης, συνήθως ένα μοναδικό όνομα χρήστη και έναν μυστικό κωδικό πρόσβασης. Αυτά τα διαπιστευτήρια επιτρέπουν στο σύστημα να επαληθεύει ότι ο χρήστης είναι αυτός που λένε ότι είναι και να τον προστατεύει από μη εξουσιοδοτημένη πρόσβαση.
Ωστόσο, κοιτάξτε οποιαδήποτε πρόσφατη αναφορά για την ασφάλεια στον κυβερνοχώρο ή παραβίαση δεδομένων και θα διαπιστώσετε ότι αυτά τα διαπιστευτήρια έχουν το ακριβώς αντίθετο αποτέλεσμα.
Υπάρχουν δισεκατομμύρια κλεμμένα διαπιστευτήρια που κυκλοφορούν στον σκοτεινό ιστό και η υπόγεια αγορά ευδοκιμεί με την παραχώρηση πρόσβασης σε αυτούς τους παραβιασμένους λογαριασμούς. Για τους οργανισμούς, είναι εξίσου ακριβές να υποθέσουμε ότι τα διαπιστευτήρια των εργαζομένων μπορούν να αξιοποιηθούν για την πρόσβαση σε ευαίσθητα δεδομένα, σε αντίθεση με την προστασία τους.
Αυτό ισχύει για όλα τα συστήματα που βασίζονται σε κωδικό πρόσβασης, ακόμη και όταν υπάρχουν πρόσθετες διασφαλίσεις, όπως ο έλεγχος ταυτότητας πολλαπλών παραγόντων. Οι κακοί ηθοποιοί αντιμετωπίζουν πρόσθετα επίπεδα ελέγχου ταυτότητας
Άμεσος βομβαρδισμός του Υπουργείου Εξωτερικών
πειρατεία συνεδρίας και επιθέσεις phishing.
Λοιπόν, τι επιλογές έχουμε για να ενισχύσουμε τα διαπιστευτήρια και να προστατεύσουμε προσωπικά και επιχειρηματικά δεδομένα, τουλάχιστον μέχρι να μπορέσουμε
μετάβαση σε έλεγχο ταυτότητας χωρίς κωδικό πρόσβασης
?
Πριν παραβιαστούν, ήταν αδύναμοι
Ας υποθέσουμε ότι κάθε κωδικός πρόσβασης που χρησιμοποιήσαμε είναι γνωστός σε κακούς ηθοποιούς. Η λύση θα ήταν να τα αλλάξουμε όλα, σωστά; Αν και αυτό είναι μια εξαιρετική αρχή, στην πραγματικότητα δεν τους εμποδίζει να πέσουν ξανά σε λάθος χέρια.
Το πρόβλημα, και ίσως η ρίζα των εγγενών αδυναμιών στον έλεγχο ταυτότητας με κωδικό πρόσβασης, είναι η προβλεψιμότητα της ανθρώπινης συμπεριφοράς.
Πολλοί χρήστες χρησιμοποιούν από προεπιλογή αδύναμους, εύκολους στην απομνημόνευση κωδικούς πρόσβασης και τείνουν να επαναχρησιμοποιούν τους ίδιους κωδικούς πρόσβασης στους περισσότερους λογαριασμούς τους. Οι σημερινές επιθέσεις με κωδικό πρόσβασης έχουν σχεδιαστεί έχοντας κατά νου αυτήν την προβλεψιμότητα.
Επιθέσεις ωμής βίας
ΕΝΑ
βίαιη επίθεση
είναι μια από τις πιο κοινές μεθόδους για την εικασία του ονόματος χρήστη και του κωδικού πρόσβασης ενός χρήστη. Στην πιο βασική του μορφή, ο εισβολέας θα δοκιμάσει και θα βάλει λάθη σε όλους τους πιθανούς συνδυασμούς ονόματος χρήστη και κωδικού πρόσβασης, μέσω αμέτρητων αυτοματοποιημένων προσπαθειών σύνδεσης, μέχρι να βρεθεί ο σωστός.
Για να γίνει η επίθεση πιο αποτελεσματική, μπορούν να χρησιμοποιηθούν πρόσθετες τακτικές για να μειωθεί ο αριθμός των εικασιών. Για παράδειγμα, χρησιμοποιώντας μια προκαθορισμένη λίστα κωδικών πρόσβασης υψηλής πιθανότητας ή χρησιμοποιώντας πληροφορίες σχετικά με τις συνήθειες δημιουργίας κωδικού πρόσβασης, όπως μοτίβα σύνθεσης χαρακτήρων.
Ενώ οι περισσότερες πολιτικές κωδικών πρόσβασης θα ενθαρρύνουν ή ακόμη και θα αναγκάσουν τους χρήστες να δημιουργήσουν κωδικούς πρόσβασης υψηλής εντροπίας, οι οποίοι θεωρητικά είναι πιο δύσκολο να σπάσουν, οι τελικοί χρήστες θα παρακάμπτουν πάντα αυτά τα μέτρα για λόγους ευκολίας.
Όσο οι τελικοί χρήστες συνεχίζουν να χρησιμοποιούν κωδικούς πρόσβασης όπως το “pizza123”, ο οποίος φέρεται να χρησιμοποιήθηκε στην παραβίαση της Fast Company, αυτές οι επιθέσεις θα συνεχίσουν να λειτουργούν.
Συμβουλές
για την εξασφάλιση ελέγχου ταυτότητας βάσει κωδικού πρόσβασης
Υπάρχει μια σειρά μέτρων που μπορούμε να εφαρμόσουμε για να ελαχιστοποιήσουμε τις αδυναμίες που σχετίζονται με τα διαπιστευτήρια τελικού χρήστη.
Το πρώτο μέτρο θα ήταν η αντιμετώπιση των προσπαθειών ωμής βίας ονόματος χρήστη και κωδικού πρόσβασης περιορίζοντας τις ανεπιτυχείς προσπάθειες σύνδεσης και διασφαλίζοντας ότι ο μηχανισμός σύνδεσης, συμπεριλαμβανομένων τυχόν μηνυμάτων σφάλματος, δεν επιβεβαιώνει την εγκυρότητα των υποβολών ονόματος χρήστη.
Για εφαρμογές Ιστού που αντιμετωπίζουν το Διαδίκτυο, αυτά τα μέτρα ελέγχου ταυτότητας θα πρέπει να ελέγχονται συνεχώς μέσω α
δοκιμές στυλό ως πάροχος υπηρεσιών
.
Στη συνέχεια, θα πρέπει να χρησιμοποιήσουμε απαιτήσεις πολυπλοκότητας κωδικού πρόσβασης για να αναγκάσουμε τους χρήστες να επιλέξουν ισχυρότερους κωδικούς πρόσβασης. Αυτές οι ρυθμίσεις πολυπλοκότητας δεν πρέπει να περιορίζονται σε απαιτήσεις μήκους και χαρακτήρων.
Μια καλή πολιτική κωδικών πρόσβασης θα αποτρέψει επίσης τα κοινά μοτίβα χαρακτήρων και την ομιλία, ενώ θα ενθαρρύνει τις φράσεις πρόσβασης, οι οποίες είναι και μεγαλύτερες και ευκολότερες στην απομνημόνευση.
Τέλος, ακόμη και με αυτά τα μέτρα, δεν μπορούμε να εμποδίσουμε τους χρήστες να επαναχρησιμοποιούν αυτούς τους κωδικούς πρόσβασης σε άλλους λογαριασμούς, συμπεριλαμβανομένων των προσωπικών τους λογαριασμών. Η επικράτηση της επαναχρησιμοποίησης κωδικού πρόσβασης αυξάνει τον κίνδυνο παραβίασης.
Οποιοσδήποτε οργανισμός υιοθετεί στάση παραβίασης θα πρέπει να ελέγχει προληπτικά τους κωδικούς πρόσβασης χρηστών σε σχέση με μια συνεχώς ενημερωμένη λίστα κωδικών πρόσβασης που έχουν παραβιαστεί.
Εάν ο κωδικός πρόσβασης ενός χρήστη βρεθεί στη λίστα παραβιασμένων κωδικών πρόσβασης, θα πρέπει να του ζητηθεί να τον αλλάξει αμέσως. Η ίδια λίστα παραβιασμένων κωδικών πρόσβασης μπορεί επίσης να χρησιμοποιηθεί για να εμποδίσει τους χρήστες να επιλέξουν παραβιασμένους κωδικούς πρόσβασης εξαρχής.
Διασφάλιση κωδικών πρόσβασης Active Directory και κλειδιών για το βασίλειο
Για τα περισσότερα δίκτυα που βασίζονται σε
Windows
, το Active Directory είναι η επιλεγμένη λύση διαχείρισης ταυτότητας και πρόσβασης. Η εξασφάλιση της υπηρεσίας καταλόγου Active Directory είναι πάντα κορυφαία, καθώς κρατά τα παροιμιώδη κλειδιά για το βασίλειο. Δυστυχώς, η Active Directory
δεν είναι
απρόσβλητη στις προκλήσεις ελέγχου ταυτότητας βάσει κωδικού πρόσβασης που περιγράψαμε παραπάνω.
Για την περαιτέρω ενίσχυση της ασφάλειας του κωδικού πρόσβασης, ένα εργαλείο πολιτικής κωδικών πρόσβασης τρίτου κατασκευαστή, π.χ
Πολιτική κωδικού πρόσβασης Specops
μπορεί να επιβάλει πρόσθετες απαιτήσεις πολυπλοκότητας και να απαγορεύσει κοινά μοτίβα δημιουργίας κωδικών πρόσβασης που μπορούν να το αφήσουν ευάλωτο σε επιθέσεις.
Αυτό περιλαμβάνει μοτίβα περπατήματος πληκτρολογίου (qwerty), leetspeak (P@$$w0rd), βασικές λέξεις (κωδικός πρόσβασης, διαχειριστής, καλωσόρισμα) και προσαρμοσμένες λέξεις λεξικού για τον αποκλεισμό συγκεκριμένων λέξεων που σχετίζονται με έναν χρήστη ή επιχείρηση (όνομα εταιρείας, όνομα προϊόντος , τοποθεσία, κ.λπ.).
Η πολιτική κωδικών πρόσβασης Specops με προστασία παραβιασμένου κωδικού πρόσβασης αποκλείει επίσης τη χρήση περισσότερων από 4 δισεκατομμυρίων μοναδικών παραβιασμένων κωδικών πρόσβασης και προσφέρει συνεχή σάρωση παραβιασμένου κωδικού πρόσβασης.
Για τον εντοπισμό της χρήσης παραβιασμένων κωδικών πρόσβασης εντός της Active Directory, το Specops
Software
προσφέρει επίσης ένα εργαλείο αίσθησης,
Specops Password Auditor
. Αυτό το εργαλείο αναφοράς μόνο για ανάγνωση σαρώνει το περιβάλλον της υπηρεσίας καταλόγου Active Directory και βοηθά στον εντοπισμό λογαριασμών που χρησιμοποιούν πάνω από 950 εκατομμύρια γνωστούς κωδικούς πρόσβασης που έχουν παραβιαστεί, μαζί με άλλες ευπάθειες που σχετίζονται με τον κωδικό πρόσβασης.
Οι εγγενείς αδυναμίες του ελέγχου ταυτότητας βάσει κωδικού πρόσβασης είναι εδώ για να μείνουν. Ακόμη και όταν υπάρχουν πρόσθετα μέτρα ασφαλείας, όπως το MFA, πρέπει να βελτιστοποιήσουμε τις πολιτικές κωδικών πρόσβασης για να αντιμετωπίσουμε τις κακές πρακτικές κωδικών πρόσβασης.
Εάν δεν είστε έτοιμοι να προχωρήσετε χωρίς κωδικό πρόσβασης, αλλά πρέπει να ασφαλίσετε τους υπάρχοντες κωδικούς πρόσβασης,
επικοινωνήστε με το Specops Software για βοήθεια
.
Χορηγός και συγγραφή από
Λογισμικό Specops