Ključni izsledki
- Visoki vodstveni delavci in lastniki podjetij uporabljajo šibka gesla, ki jih je enostavno razbiti.
- Kriva sta človeška lenoba in pomanjkanje ustreznega usposabljanja.
-
Uporaba upravitelja gesel je najboljša rešitev.
Morda mislite, da bi moral biti vaš šef zgled, ko gre za dobro uporabo gesel, toda resnično presenečenje je, da so prav tako slabi in na nek način slabši kot mi ostali.
Glede na novo poročilo upravitelja gesel in storitve VPN Nord Security vodilni delavci uporabljajo šibka gesla, ki jih je enostavno razbiti, tako kot vsi ostali. Pravzaprav, poleg tega, da se ne trudijo zaščititi lastne varnosti ali varnosti svojih podjetij, se zdi, da imajo čudno prednost do fantastičnih bitij.
"Zanimivo je, da je študija pokazala, da najvišji menedžerji v svojih geslih pogosto uporabljajo tudi imena ljudi (tj. Tiffany, Charlie, Michael, Jordan) in mitskih bitij ali živali (tj. zmaj, opica)," Patricija Černiauskaitė družbe Nord Security povedal Lifewire po e-pošti.
Preveč zaposlen, da bi skrbel
Zakaj so torej vodje tako slabi pri geslih? Tako kot vsi drugi mislijo, da imajo pomembnejše stvari.
"Vodstvo je preplavljeno z vprašanji in informacijami, prav tako pa se od njih zahteva, da v delčku sekunde sprejmejo odločitve o vrsti tem. Tudi če so se domislili osnovnega pristopa preslikave gesel (npr. "isto geslo + fin@ nce" za finančna spletna mesta; "isto geslo + s0c1al" za družabna spletna mesta), zadnja stvar, ki jo želijo narediti, je prekiniti svoj miselni proces tako, da razmišljajo o določenem geslu za določeno spletno mesto, " je za Lifewire povedal tehnični direktor 1Password Pedro Canahuati prek E-naslov.
Rezultat tega je, da je glavno geslo, ki ga uporabljajo zaposleni v pisarnah na visoki ravni, 123456, sledi pa mu staro klasično geslo.
Vemo, da so gesla pomembna, vendar si jih zaradi tega ni lažje zapomniti. Doma je pisanje na papir enako varno, v pisarni pa je to očitno slaba ideja. Toda ali so za to krivi zaposleni - na kateri koli ravni - ali bi moral IT oddelek podjetja poskrbeti za usposabljanje in upravljanje tega? Konec koncev, poskusite pomisliti na drugo področje v poslu, kjer so posledice neuspeha tako hude, zaposlenim pa je dovoljeno, da se tega preprosto znebijo.
"Verjamem, da če več ljudem njihovo podjetje pokaže, kako poenostaviti zapleten svet hrambe gesel s primeri, usposabljanjem in orodji, bi bili ljudje bolj dovzetni za implementacijo močnih gesel, " Chris Lepotakis, višji sodelavec pri globalnem ocenjevalcu kibernetske varnosti Schellmanu, je po elektronski pošti povedal Lifewire. »Po mojih osebnih izkušnjah sem ugotovil, da je to pomanjkljivo področje, ki bi ga moralo več podjetij razmisliti o izboljšanju v svojih učnih načrtih varnostnega usposabljanja za zaposlene."
Odgovor
Odgovor je, da zahtevate uporabo neke vrste upravitelja gesel. Izbirate lahko med številnimi storitvami, ki se integrirajo z brskalniki in drugo programsko opremo. Upravitelj gesel ustvari varna gesla, si jih zapomni in samodejno izpolni, ko jih potrebujete.
Vse, kar mora uporabnik storiti, je, da si zapomni eno geslo ali geslo, ki je potrebno za odklepanje aplikacije za upravljanje gesel. Zagotovo bi lahko sisteme podjetij zaklenili, tako da bi lahko gesla vnašali le prek aplikacije za upravljanje gesel, kot sta NordPass ali 1Password, in tako iz enačbe odstranili lenega človeka?
Po mojih osebnih izkušnjah sem videl, da je to pomanjkljivo področje, ki bi ga moralo več podjetij razmisliti o izboljšanju…
Ampak tukaj je seveda problem. Leni ljudje bomo samo izbrali 123456 ali poochie89 kot glavno geslo, ki bi lahko razkrilo njihovo celotno zbirko gesel z enim dobro usmerjenim napadom socialnega inženiringa. Po drugi strani pa je mogoče to glavno geslo povezati z nekakšnim fizičnim žetonom, kot je uporabnikov telefon ali varnostni ključ.
Je kdo dober pri geslih?
Med raziskovanjem tega članka sem anketirance vprašal, ali obstajajo skupine, ki so dejansko dobre pri varovanju gesel. Mislil sem, da bi se morda bolje odrezali varnostni strokovnjaki ali IT-ji.
Odgovori so bili mešani, vendar je večina rekla, da ni nobene skupine, ki bi izstopala, čeprav na srečo ljudje, ki se ukvarjajo z IT varnostjo, vsaj vedo, kaj bi morali početi.
»Iskreno lahko rečem, da se zdi, da večina varnostnih skupin za vse organizacije res bolje obvlada varnost gesel,« pravi Lepotakis, »vendar ne bi rekel, da je to dosledno res. Mislim, da se to res nanaša na mojo izvirna izjava v razdelku o vodstvenih delavcih Vsi smo še vedno ljudje in ljudje delajo napake ali se odrečejo ustrezni varnosti, da bi si olajšali življenje."
Posledica vsega tega je, da bi morali uporabljati upravitelja gesel, si vzeti čas za ustvarjanje, učenje in zapomnitev močnega glavnega gesla ter ga nikoli nikomur ne povedati.
Moralo bi biti dovolj enostavno.