Ключевые выводы
- Высокопоставленные руководители и владельцы компаний используют слабые и легко взламываемые пароли.
- Виноваты человеческая лень и отсутствие надлежащей подготовки.
-
Использование менеджера паролей - лучшее решение.
Вы можете подумать, что ваш босс должен подавать пример, когда дело доходит до правильного использования паролей, но реальность – сюрприз – заключается в том, что они такие же плохие, а в некоторых отношениях и хуже, чем остальные из нас.
Согласно новому отчету менеджера паролей и VPN-сервиса Nord Security, руководители высокого уровня используют слабые, легко взламываемые пароли, как и все остальные. На самом деле, помимо того, что они не заботятся о собственной безопасности или безопасности своих компаний, они, похоже, отдают странное предпочтение фантастическим существам.
«Интересно, что исследование показало, что топ-менеджеры также широко используют имена людей (например, Тиффани, Чарли, Майкл, Джордан) и мифических существ или животных (например, дракон, обезьяна) в своих паролях», Патрисия Черняускайте. из Nord Security сообщили Lifewire по электронной почте.
Слишком занят, чтобы заботиться
Так почему руководители так плохо разбираются в паролях? Как и все мы, они думают, что у них есть более важные дела.
"Руководителей заваливают вопросами и информацией, а также просят принимать решения за доли секунды по целому ряду тем. Даже если они придумали рудиментарный подход к сопоставлению паролей (например, "тот же пароль + fin@"). nce» для финансовых сайтов; «тот же пароль + s0c1al» для социальных сайтов), последнее, что они хотят сделать, - это прервать свой мыслительный процесс, придумывая определенный пароль для определенного сайта», - сказал технический директор 1Password Педро Канахуати. Эл. адрес.
В результате главный пароль, используемый офисными работниками высокого уровня, - 123456, за которым следует старый классический пароль: password.
Мы знаем, что пароли важны, но от этого их не легче запомнить. Дома писать их на бумаге так же безопасно, как и все остальное, но в офисе это явно плохая идея. Но виноваты ли в этом сотрудники - на любом уровне - или ИТ-отдел компании должен заботиться об обучении и управлении этим? В конце концов, попробуйте подумать о другой области бизнеса, где последствия неудачи столь ужасны, но сотрудникам позволено просто махнуть рукой.
«Я считаю, что если компания покажет большему количеству людей, как упростить сложный мир хранения паролей с помощью примеров, обучения и инструментов, люди будут более восприимчивы к внедрению надежных паролей», - Крис Лепотакис, старший юрист в глобальном оценщике кибербезопасности Шеллман, сказал Lifewire по электронной почте. «По моему личному опыту, я видел, что это недостающая область, которую большему количеству компаний следует рассмотреть для улучшения в своих учебных программах по безопасности для сотрудников."
Ответ
Ответ заключается в том, чтобы разрешить использование какого-либо менеджера паролей. Существует множество сервисов на выбор, и они интегрируются с браузерами и другим программным обеспечением. Менеджер паролей генерирует безопасные пароли, запоминает их и автоматически вводит при необходимости.
Все, что нужно сделать пользователю, это запомнить один пароль или кодовую фразу, необходимую для разблокировки приложения менеджера паролей. Конечно, корпоративные системы можно было бы заблокировать, чтобы пароли можно было вводить только через приложение-менеджер паролей, такое как NordPass или 1Password, таким образом исключая ленивого человека из уравнения?
По моему личному опыту, я вижу, что это недостающая область, которую большему количеству компаний следует рассмотреть для улучшения…
Но, конечно, здесь есть проблема. Мы, ленивые люди, просто выберем 123456 или poochie89 в качестве мастер-пароля, что может обнажить всю их коллекцию паролей одной меткой атакой социальной инженерии. С другой стороны, этот мастер-пароль можно связать с каким-либо физическим токеном, например телефоном пользователя или ключом безопасности.
Кто-нибудь разбирается в паролях?
При подготовке этой статьи я спросил респондентов, существуют ли какие-либо группы, которые действительно хорошо разбираются в безопасности паролей. Я подумал, что, возможно, специалисты по безопасности или ИТ-специалисты справятся лучше.
Ответы были неоднозначными, но большинство сказали, что нет ни одной выделяющейся группы, хотя, к счастью, специалисты по ИТ-безопасности хотя бы знают, что им следует делать.
«Я могу честно сказать, что большинство групп безопасности во всех организациях действительно лучше справляются с защитой паролей, - говорит Лепотакис, - но я бы не сказал, что это всегда так. Я думаю, что это действительно восходит к моей оригинальное утверждение в разделе о руководителях Мы все еще люди, и люди либо совершают ошибки, либо отказываются от соответствующих мер безопасности, чтобы облегчить себе жизнь."
Вывод из всего этого заключается в том, что вы должны использовать менеджер паролей, не торопиться, чтобы создать, выучить и запомнить надежный мастер-пароль, и никогда никому его не сообщать.
Должно быть достаточно просто.
