Quên mật khẩu cheat sheet
|
Mật khẩu là cần thiết để xác thực các loại hệ thống công nghệ khác nhau được sử dụng trong các doanh nghiệp ngày nay. Tuy nhiên, chúng là một dạng thông tin nguy hiểm từ góc độ bảo mật. Để tăng cường bảo mật mật khẩu, các tổ chức muốn lưu ý các phương pháp hay nhất về mật khẩu do các tổ chức bảo mật lưu ý Show Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) từ lâu đã cung cấp hướng dẫn về bảo mật xác thực đối với các hệ thống quan trọng hoặc nhạy cảm. Tổ chức của bạn có thể áp dụng những phương pháp hay nhất NIST nào để giúp tăng cường bảo mật cho mật khẩu được sử dụng trong môi trường của bạn? Tại sao mật khẩu lại nguy hiểmMật khẩu là một dạng thông tin nguy hiểm có thể dẫn đến mọi loại rủi ro cho dữ liệu và dịch vụ của bạn. Thông tin đăng nhập bị xâm phạm được ghi nhận là một trong những thủ phạm chính trong các vụ vi phạm dữ liệu lớn. Theo báo cáo Chi phí vi phạm dữ liệu năm 2020 của IBM, “thông tin đăng nhập bị đánh cắp hoặc bị xâm phạm là nguyên nhân đắt giá nhất dẫn đến vi phạm dữ liệu độc hại. ” Bạn có thể thắc mắc, làm thế nào thông tin đăng nhập của người dùng cuối bị xâm phạm? . Tội phạm mạng có thể thu thập mật khẩu bằng cách cài đặt phần mềm độc hại trên PC của người dùng cuối, sử dụng keylogger hoặc mã độc khác. Email lừa đảo cố gắng thuyết phục người dùng cuối nhấp vào liên kết độc hại hoặc tiết lộ thông tin đăng nhập của họ thông qua biểu mẫu web trực tuyến. Những kẻ tấn công có thể sử dụng các cuộc tấn công kỹ thuật xã hội để thuyết phục người dùng cuối vô tình tiết lộ thông tin bảo mật. Tội phạm mạng cũng thực hiện nhiều kiểu tấn công mật khẩu để xâm phạm thông tin đăng nhập. Chúng bao gồm sử dụng danh sách mật khẩu bị vi phạm trong một cuộc tấn công rải mật khẩu để xâm phạm tài khoản người dùng bằng mật khẩu đã biết NIST đề xuất các phương pháp hay nhất về mật khẩuHãy xem xét một số khuyến nghị về mật khẩu của NIST có thể giúp tăng cường bảo mật mật khẩu trong môi trường của bạn. Bạn có thể nhận thấy rằng NIST đang ủng hộ các khái niệm mới hơn như một phần của các khuyến nghị mới nhất
Một phương pháp hay nhất về bảo mật mật khẩu quan trọng khác cần lưu ý được thể hiện trong khuyến nghị sau đây trong phần 5. 1. 1. 2. Lưu ý những điều sau liên quan đến mật khẩu bị vi phạm, từ điển, mật khẩu lặp lại hoặc theo ngữ cảnh cụ thể Khi xử lý các yêu cầu thiết lập và thay đổi các bí mật đã ghi nhớ, người xác minh PHẢI so sánh các bí mật tiềm năng với danh sách chứa các giá trị được biết là thường được sử dụng, dự kiến hoặc bị xâm phạm. Ví dụ: danh sách CÓ THỂ bao gồm, nhưng không giới hạn ở
Như bạn có thể thấy, nhiều đề xuất giúp giảm thiểu các kiểu tấn công khác nhau mà những kẻ tấn công thường sử dụng ngày nay Một mối đe dọa bảo mật khác xung quanh việc đặt lại mật khẩuVới đại dịch toàn cầu và lực lượng lao động làm việc từ xa đông đảo, các nhân viên của bộ phận dịch vụ phải làm việc với người dùng cuối từ xa để đặt lại mật khẩu đã quên hoặc tài khoản bị khóa do đăng nhập thất bại quá nhiều lần. Các kỹ thuật viên bàn dịch vụ tương tác với nhân viên từ xa thường sẽ làm việc với người dùng cuối qua điện thoại Điều gì sẽ xảy ra nếu kẻ tấn công gọi vào bàn dịch vụ và giả làm nhân viên hợp pháp? . Tuy nhiên, những kẻ tấn công có thể thu thập nhiều thông tin thường được sử dụng từ các trang truyền thông xã hội hoặc thông tin cá nhân khác được đăng ở nơi khác bởi người dùng cuối. Trong các đề xuất mới nhất của mình, NIST không còn công nhận các câu hỏi bảo mật là công cụ xác thực có thể chấp nhận được vì những lý do tương tự đã đề cập ở trên Specops Secure Service Desk cung cấp giải pháp cho phép các kỹ thuật viên của bộ phận trợ giúp đặt lại mật khẩu của người dùng cuối thông qua tương tác của con người một cách an toàn. Khi làm việc với người dùng cuối qua điện thoại, các kỹ thuật viên của bàn dịch vụ có thể sử dụng giải pháp Bàn dịch vụ bảo mật để xác minh danh tính của họ bằng cách thực thi việc sử dụng các dịch vụ nhận dạng mà người dùng cuối đã đăng ký. Người dùng có thể đăng ký bằng các công nghệ đa yếu tố như ứng dụng xác thực và mã di động. Khi người dùng đăng ký bằng mã di động được liên kết với tài khoản của họ trong Active Directory, kỹ thuật viên bộ phận trợ giúp sẽ gửi mã đến điện thoại của người dùng cuối, cho phép xác minh danh tính Quy trình làm việc cho Specops Secure Service Desk trông như bên dưới. Kỹ thuật viên bộ phận trợ giúp đã bắt đầu đẩy mã di động đến điện thoại của người dùng cuối. Sau khi người dùng nhận được mã, họ lặp lại mã đó cho kỹ thuật viên. Kỹ thuật viên nhập mã, xác thực danh tính và tiếp tục đặt lại mật khẩu. Việc xác minh danh tính này đảm bảo rằng những kẻ tấn công không thể sử dụng một cách hiệu quả cuộc tấn công kỹ thuật xã hội để xâm phạm mật khẩu tài khoản Sử dụng Specops Secure Service Desk để xác thực danh tính người dùng từ xaBên cạnh việc cung cấp giải pháp Secure Service Desk, Specops còn cung cấp giải pháp Chính sách mật khẩu đầy đủ tính năng cung cấp khả năng bảo vệ bổ sung cần thiết trong môi trường Active Directory chống lại các mật khẩu yếu và bị xâm phạm suy nghĩ kết luậnCó nhiều mối nguy hiểm khác nhau đối với mật khẩu tài khoản. Bằng cách làm theo các đề xuất mật khẩu mới nhất của NIST, trong số những đề xuất khác, các tổ chức có thể tăng cường bảo mật tài khoản. Các kỹ thuật bảo mật mật khẩu truyền thống không bảo vệ được tài khoản người dùng. Ví dụ: buộc thay đổi mật khẩu định kỳ không tăng cường bảo mật mật khẩu, đặc biệt nếu mật khẩu chưa bị xâm phạm. Thay vào đó, khắc phục vi phạm mật khẩu ngay khi chúng xảy ra hoặc kiểm tra mật khẩu bị vi phạm một cách chủ động và ngăn không cho những mật khẩu này bị sử dụng là cách tiếp cận tốt hơn. Các tổ chức cũng phải lưu ý đến bảo mật đặt lại mật khẩu với người dùng cuối từ xa. Tội phạm mạng có thể sử dụng các cuộc tấn công kỹ thuật xã hội để giả làm người dùng cuối hợp pháp để xâm phạm mật khẩu bằng yêu cầu đặt lại mật khẩu. Sử dụng các công cụ hiệu quả như Specops Secure Service Desk và Specops Password Policy có thể giúp các tổ chức bảo vệ chống lại các cuộc tấn công kỹ thuật xã hội và mật khẩu bị vi phạm trong môi trường |
